home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / cleanb72.arc / CLEAN72.DOC < prev    next >
Encoding:
Text File  |  1990-12-13  |  18.2 KB  |  420 lines
  1.  
  2.  
  3.                         CLEAN-UP Version 6.3V72
  4.                 Copyright (C) 1990 by McAfee Associates.
  5.                          All rights reserved.
  6.                     Documentation by Aryeh Goretsky.
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.      McAfee Associates                  (408) 988-3832 office
  14.      4423 Cheeney Street                (408) 970-9727 fax
  15.      Santa Clara, CA  95054-0253        (408) 988-4004 BBS 2400 bps
  16.      U.S.A                              (408) 988-5138 BBS HST 9600
  17.                                         (408) 988-5190 BBS v32 9600
  18.  
  19.  
  20.  
  21.  
  22.                             TABLE OF CONTENTS:
  23.  
  24.  
  25.  
  26. SYNOPSIS  . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  27.  - What CLEAN-UP is, system requirements
  28.  
  29. AUTHENTICITY .  . . . . . . . . . . . . . . . . . . . . . . . .2
  30.  - Verifying the integrity of CLEAN-UP
  31.  
  32. WHAT'S NEW . .  . . . . . . . . . . . . . . . . . . . . . . . .2
  33.  - Features, new viruses added in this release
  34.  
  35. OVERVIEW . . .  . . . . . . . . . . . . . . . . . . . . . . . .3
  36.  - Detailed description of CLEAN-UP
  37.  
  38. OPERATION. . .  . . . . . . . . . . . . . . . . . . . . . . . .4
  39.  - How to use CLEAN-UP
  40.  
  41. EXAMPLES . . .  . . . . . . . . . . . . . . . . . . . . . . . .5
  42.  - Samples of frequently-used options
  43.  
  44. REGISTRATION .  . . . . . . . . . . . . . . . . . . . . . . . .6
  45.  - How to register CLEAN-UP
  46.  
  47. TECH SUPPORT .  . . . . . . . . . . . . . . . . . . . . . . . .7
  48.  - Information you should have ready when calling
  49.  
  50. VERSION NOTES.  . . . . . . . . . . . . . . . . . . . . . . . .7
  51.  - Program History
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.                                 Page 1
  60. CLEAN-UP Version 6.3V72                                    Page 2
  61.  
  62.  
  63. SYNOPSIS
  64.  
  65.      CLEAN-UP (CLEAN) is a virus disinfection program for IBM PC
  66. and compatible computers.  CLEAN-UP will search though the
  67. partition table, boot sector, or files of a PC and remove a virus
  68. specified by the user. In most instances CLEAN-UP is able to repair
  69. the infected area of the system and restore it to normal usage. 
  70. CLEAN-UP works on all viruses identified by the current version of
  71. the VIRUSCAN (SCAN) program.
  72.      CLEAN-UP runs on any PC with 256Kb and DOS version 2.00 or
  73. greater.  
  74.  
  75.  
  76. AUTHENTICITY
  77.  
  78.      CLEAN-UP runs a self-test when executed.  If CLEAN has been
  79. modified in any way, a warning will be displayed.  The program will
  80. still continue to remove viruses, though.  If CLEAN reports that
  81. it has been damaged, is recommended that a new, clean copy be
  82. obtained.
  83.      CLEAN-UP is packaged with the VALIDATE program to ensure the 
  84. integrity of the CLEAN.EXE file.  The VALIDATE.DOC instructions
  85. tell how to use the VALIDATE program.  The VALIDATE program
  86. distributed with CLEAN-UP may be used to check all further versions
  87. of CLEAN.
  88.  
  89.      The validation results for Version 72 should be:
  90.  
  91.               FILE NAME: CLEAN.EXE
  92.                    SIZE: 86,077
  93.                    DATE: 12-13-90
  94.     FILE AUTHENTICATION
  95.          Check Method 1: F087
  96.          Check Method 2: 19B3
  97.  
  98. If your copy of CLEAN.EXE differs, it may have been modified. 
  99. Always obtain your copy of CLEAN-UP from a known source.  The
  100. latest version of CLEAN-UP and validation data for SCAN.EXE can be
  101. obtained off of McAfee Associates' bulletin board system at (408)
  102. 988-4004.
  103.  
  104.  
  105. WHAT'S NEW
  106.  
  107.      Version 72 of CLEAN-UP adds the removal of two new viruses,
  108. the Liberty virus, widely being reported in Australia and the
  109. southeastern United States, and the Plastique virus, which is being
  110. reported in the United States, Asia, Australia, and Europe.
  111. Additionally, handling of the removal of the Pakistani Brain virus
  112. has been improved.
  113.      Beginning with Version 72, all McAfee Associates programs for
  114. download are archived with PKWare's PKZIP Authentic File
  115. Verification.  If you do not see the "-AV" message after every file
  116. is unzipped and receive the message "Authentic Files Verified!  
  117. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  118. then do not run them.  If your version of PKUNZIP does not have
  119. verification ability, then this message may not be displayed.
  120. Please contact McAfee Associates if your .ZIP file has been
  121. tampered with.
  122. CLEAN-UP Version 6.3V72                                   Page 3
  123.  
  124.  
  125. OVERVIEW
  126.  
  127.      CLEAN-UP searches the system looking for the virus you wish
  128. to remove.  When an infected file is found, CLEAN-UP isolates and
  129. removes the virus, and in most cases, repairs the infected file and
  130. restores it to normal operation.  If the file is infected with a
  131. less common virus, CLEAN-UP will then display a warning message and
  132. prompt the user, asking to overwrite and delete the infected file. 
  133. Files erased in such a manner are non-recoverable.
  134.     Verify the suspect virus infection with the VIRUSCAN program
  135. before running CLEAN-UP.  VIRUSCAN will locate and identify the
  136. virus and provide the I.D. code needed to remove it.  The I.D. is
  137. displayed inside the square brackets, "[" and "]."  For example,
  138. the I.D. code for the Jerusalem virus is displayed as
  139. "[Jeru]".  This I.D. must be used with CLEAN-UP to remove the
  140. virus.  The square brackets "[" and "]" MUST be included.
  141.  
  142.      The common viruses that CLEAN-UP is able to remove
  143. successfully and repair and restore the damaged programs are:
  144.  
  145. 1260            1701             1704            4096
  146. Alabama         Alameda          Ashar           Dark Avenger
  147. DataLock        Disk Killer      EDV             Fish
  148. Flip            Invader          Jerusalem A     Jerusalem B
  149. Jerusalem E     Joshi            KeyPress        Liberty
  150. Pakistani Brain PayDay           Ping Pong B     Slow
  151. Stoned          SunDay           Suriv03         Taiwan 3
  152. Taiwan 4        V800             VacSina         Vienna
  153. Violator        Whale            Yankee Doodle   ZeroBug
  154. Plastique
  155.  
  156. AN IMPORTANT NOTE ABOUT .EXE FILES:  Some viruses which infect .EXE
  157. files can not be removed successfully in all cases.  This usually
  158. occurs when the .EXE file loads internal overlays.  Instead of
  159. attaching to the end of the .EXE file, the virus may attach to the
  160. beginning of the overlay area, and program instructions are
  161. overwritten.  Clean-Up will truncate files infected in this manner.
  162. If a file no longer runs after being cleaned, replace it from the
  163. manufacturer's original disk.
  164.  
  165. AN IMPORTANT NOTE ABOUT THE STONED VIRUS:  Removing the Stoned
  166. virus can cause loss of the partition table on systems with
  167. non-standard formatted hard disks.  As a precaution, backup all
  168. critical data before running CLEAN-UP.  Loss of the partition table
  169. can result in the LOSS OF ALL DATA ON THE DISK.
  170. CLEAN-UP Version 6.3V72                               Page 4
  171.  
  172.  
  173. OPERATION:
  174.  
  175. IMPORTANT NOTE:  POWER DOWN YOUR SYSTEM AND BOOT FROM A CLEAN
  176. SYSTEM DISK BEFORE BEGINNING.  RUN THE CLEAN-UP PROGRAM FROM A
  177. WRITE-PROTECTED DISK TO PREVENT INFECTION OF THE PROGRAM.
  178.  
  179.      Power down the infected system and boot from a clean,
  180. write-protected system diskette.  This step will insure that the
  181. virus is not in control of the computer and will prevent
  182. reinfection.  After cleaning, power down the system again, reboot
  183. from the system disk, and run the VIRUSCAN program to make sure the
  184. system has been succesfully disinfected.  After cleaning the hard
  185. disk, run the VIRUSCAN program on any floppies that may have been
  186. inserted into the infected system to determine if they have been
  187. infected.
  188.      CLEAN-UP will display the name of the infected file, the virus
  189. found in it, and report a "successful" disinfection when the virus
  190. is removed.  If a file has been infected multiple times by a virus
  191. (possible if the virus does not check to see if it has already
  192. attached to a file) than CLEAN-UP will report that the virus has
  193. been removed successfully for each infection.
  194.  
  195.  
  196.      To run CLEAN-UP type:
  197.  
  198. CLEAN d1: ... d10: [virus ID]  /A /E .xxx /MANY /REPORT d:filename
  199.  
  200. Options are:
  201.  
  202.                    /A - Examine all files for viruses
  203.     /E .xxx .yyy .zzz - Clean overlay extensions .xxx .yyy .zzz
  204.                 /MANY - Put CLEAN into loop disinfecting drive(s)
  205.    /REPORT d:filename - Create report of cleaned files
  206.  
  207.          d1: ... d10: - indicate drives to be cleaned
  208.          [virus I.D.] - Virus identification code, for a complete
  209.                         list of codes, see the accompanying
  210.                         VIRLIST.TXT file                         
  211.  
  212.      The /A option will cause CLEAN to go through all files on
  213. diskette.  This should be used if a file-infecting virus is
  214. detected.  
  215.      The /E option allows the user to specify an extension or set
  216. of extensions to clean.  Extensions must be separated by a space
  217. after the /E and between each other.  Up to three extensions may
  218. be added with the /E.  For more extensions, use the /A option.
  219.      The /MANY option is used to clean multiple floppy diskettes. 
  220. If the user has more than one floppy disk to check for viruses, the
  221. /MANY option will allows the user to check them without having to
  222. run CLEAN multiple times.
  223. CLEAN-UP Version 6.3V72                                   Page 5
  224.  
  225.  
  226.      The /REPORT option is used to generate a listing of
  227. disinfected files.  The resulting list can be saved to disk as an
  228. ASCII text file.  To use the report option, specify /REPORT on the
  229. command line, followed by the device and filename.
  230.  
  231.  
  232. EXAMPLES
  233.  
  234.      The following examples are shown as they would be typed in on
  235. the command line.
  236.  
  237.  
  238.      CLEAN C: D: E: [JERU] /A
  239.           To disinfect drives C:, D:, and E: of the Jerusalem
  240.           virus, searching all files for the virus in the process
  241.  
  242.      CLEAN A: [STONED]
  243.           To disinfect floppy in drive A: of the Stoned virus
  244.  
  245.      CLEAN C:\MORGAN [DAV] /A
  246.           To disinfect subdirectory MORGAN on drive C: of the Dark
  247.           Avenger, searching all files for the virus in the process
  248.  
  249.      CLEAN B: [DOODLE] /REPORT C:YNKINFCT.TXT
  250.           To disinfect floppy in drive B: of the Yankee Doodle
  251.           virus, searching all files in the process, and creating
  252.           a report of disinfected files named YNKINFCT.TXT on drive
  253.           C:
  254.  
  255.  
  256. REGISTRATION
  257.  
  258.      A registration fee of $35.00US is requested for the use of
  259. CLEAN-UP by individual home users.  Registration is for one year
  260. and entitles the holder to unlimited free upgrades for the duration
  261. off of McAfee Associates bulletin board.  Diskettes are not mailed
  262. unless specifically requested.  Add $9.00US for diskette mailings.
  263.      Registration is for home users only and does not apply to
  264. businesses, departments, organizations, government agencies, or
  265. schools, who must obtain a license for use.  Contact McAfee
  266. Associates for more information.
  267.      Outside of North America, registration and support may be
  268. obtained through the agents listed in the accompanying AGENTS.TXT
  269. text file.
  270. CLEAN-UP Version 6.3V72                                    Page 6
  271.  
  272.  
  273. TECH SUPPORT
  274.  
  275.      In order to facilitate speedy and accurate support, please
  276. have the following information ready when you contact McAfee
  277. Associates:
  278.  
  279.      -    Program name and version number.
  280.  
  281.      -    Type and brand of computer, hard disk, plus any
  282.           peripherals.
  283.  
  284.      -    Version of DOS you are running, plus any TSRs or device
  285.           drivers in use.
  286.  
  287.      -    The exact problem you are having.  Please be specific as
  288.           possible.  Having a print out of the screen and/or being
  289.           at your computer will help also.
  290.  
  291. McAfee Associates can be contacted by BBS or fax twenty-four hours
  292. a day, or call our business office at (408) 988-3832, Monday
  293. through Friday, 8:30AM to 6:00PM Pacific Standard Time.
  294.  
  295.      McAfee Associates             (408) 988-3832 office
  296.      4423 Cheeney Street           (408) 970-9727 fax
  297.      Santa Clara, CA  95054        (408) 988-4004 BBS 2400 bps
  298.      U.S.A                         (408) 988-5138 BBS HST 9600
  299.                                    (408) 988-5190 BBS v32 9600
  300.  
  301. VERSION NOTES
  302.  
  303. Version 71:
  304.      Version 71 of CLEAN-UP adds disinfection of six new viruses,
  305. the Flip virus, KeyPress virus, DataLock virus, Taiwan-3, Taiwan-4
  306. and the Violator.  For summary information about these viruses,
  307. please refer to the accompanying VIRLIST.TXT file.  For a detailed
  308. description of these viruses please refer to Patricia Hoffman's
  309. VSUM document.  VSUM is copyrighted by Patricia Hoffman.  It is the
  310. most comprehensive PC virus compendium available.
  311.  
  312. Version 67:
  313.      Version 67 is now disinfects the EDV, Invader, Slow, and Whale
  314. viruses:
  315.      The EDV is a boot sector infector virus first reported in
  316. Germany.  It infects hard and floppy disks.
  317.      The Invader is a multipartite (two-part) virus that attaches
  318. to both the files and boot sectors of hard and floppy disks.  The
  319. Invader shows up as being 4,096 bytes in length in infected files.
  320. It is NOT related to the 4096 "Stealth" virus but rather is a
  321. combination of the Jerusalem, Stoned, and Plastique viruses.  At
  322. random intervals, it plays Beethoven over the speaker.  Poorly.
  323. CLEAN-UP Version 6.3V72                                  Page 7
  324.  
  325.  
  326.      The Slow virus has been reported at several sites in
  327. Australia.  It is a file infector, attaching to .COM and .EXE files
  328. and increasing them by 1,701 bytes.  It is NOT related to the 1701
  329. virus.
  330.      The Whale virus is a "stealth" type virus that attaches itself
  331. to .COM, .EXE, and overlay files.  It increases their size by
  332. approximately 9.216 bytes, but this size increase will not show up
  333. unless the infected PC is cold booted off of a clean system disk
  334. because the virus masks its presence when resident in memory.
  335.      A report-generating option has been added to CLEAN-UP.  When
  336. the /REPORT option is used, it will generate a list of infected
  337. files found when scanning an infected system.  Such a report can
  338. be used for pin-pointing the source of an infection, or for system
  339. audits.
  340.  
  341. Version 66:
  342.      Version 66 is able to remove and repair four new viruses: 
  343. Joshi, Vienna, Fish6, and Zerobug.  All of these viruses have been
  344. reported at multiple sites.  In addition, 27 new viruses have been
  345. included in the Clean-Up detection and eradication processing.  An
  346. outline of the new viruses in included in the enclosed file -
  347. VIRLIST.TXT.  For a complete description of the viruses, please
  348. refer to Patricia Hoffman's VSUM document.          
  349.  
  350. Version 64:
  351.      Version 64 of CLEAN repairs a number of small bugs in version
  352. 63, including the inability to catch the Fish-6 virus in memory and
  353. an infrequent false alarm with the Korea virus when running
  354. AppleTalk. A re-structuring of CLEAN's scanning technique was also
  355. required due to the appearance of another fully encrypted virus
  356. (V2P2).  This virus has no string that is common for all iterations
  357. of the virus, so that a virus-specific search technique was
  358. required.
  359.      In addition, 14 new viruses have surfaced from various parts
  360. of the world.  Of the 14 viruses, two appear to be fairly virulent.
  361. The Joshi virus, from India, is a boot sector and partition table
  362. infector which activates on the 5th of January.  When activated,
  363. it locks up the machine and displays the message "Type Happy
  364. Birthday Joshi".  The system stays locked until the user types the
  365. happy birthday message.  In addition the virus causes problems in
  366. writing to or reading from 1.2Mb diskettes.  The second virus is
  367. from Taiwan and has been named the Taiwan-3 virus.  It infects EXE
  368. and COM files, including COMMAND.COM.  It is memory resident and
  369. randomly appears to garble the File Allocation Table of the hard
  370. drive.  Both viruses have been reported at multiple sites.
  371.      The twelve additional viruses are outlined in the enclosed
  372. VIRLIST.TXT file.  For a detailed description of each, please refer
  373. to Patricia Hoffman's VSUM document.
  374.      The V800 virus has been added to the list of viruses that can
  375. be removed without deleting the infected programs.
  376. CLEAN-UP Version 6.3V72                                 Page 8
  377.  
  378.  
  379. Version 63:
  380.      Version 63 has been one of the most painful versions we have
  381. put together.  There have been 17 new viruses and virus sub-strains
  382. discovered in the 35 days since the release of version 62.  We have
  383. also added a major feature to allow SCAN and CLEAN-UP to check
  384. inside of programs compressed with LZEXE; we've added Yankee Doodle
  385. and Vacsina to the list of recoverable viruses in CleanUp; we've
  386. undertaken an accounting of the numerous sub-strains of each virus;
  387. we've repaired over a dozen loopholes that allowed certain
  388. sub-strains to slip through; and we've added a new program to the
  389. product line called VCOPY that replaces the DOS copy command and
  390. does automatic scanning during a copy function.
  391.      In addition, we've been struggling with the issue of how to
  392. count viruses in a meaningful way that does not place us in a
  393. seemingly disadvantageous competitive position.  For example:
  394. Numerous anti-virus programs advertise the number of viruses that
  395. they are able to detect, and these numbers range from less than 50
  396. to over 100.  On analysis, these numbers included all of the known
  397. sub-strains of the viruses, and their virus count by our
  398. classification was always substantially less.  We group viruses by
  399. major type, where possible, to make it easier to manage, both from
  400. an identification and removal basis.  But on a sheer numbers
  401. comparison, SCAN appears in a weaker light.  After careful thought,
  402. we decided to stick with our classification scheme, but in the
  403. VIRLIST.TXT we will list the known variants detected in
  404. parentheses.  By the competition's counting scheme, we now identify
  405. 167 viruses.  By our count, we identify 97.   
  406.      The 17 new viruses and new sub-strains added for version 63
  407. have come from a variety of sources.  Vesselin Bontchev from
  408. Bulgaria submitted three new variants of the 512, one new variant
  409. of the W-13 virus and two entirely new viruses that have surfaced
  410. in Eastern Europe.  Dave Chess from IBM provided me with three new
  411. viruses collected through the various IBM contacts.  Patricia
  412. Hoffamn provided one new virus and two new variants submitted from
  413. users of the FidoNet network.  The Icelandic virus researcher
  414. Fridrik Skulason provided one new virus.  The remaining four were
  415. submitted directly by Homebase users.  The VIRLIST.TXT document
  416. describes the main operating characteristics of the new viruses. 
  417. To avoid duplication of effort, I am referring users to Patricia
  418. Hoffman's most current VSUM document for a detailed description of
  419. the new viruses.
  420.