home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / scanv85.arc / SCANB85.DOC < prev    next >
Encoding:
Text File  |  1991-12-07  |  32.6 KB  |  745 lines
  1.                VIRUSCAN Version BETA85
  2.      Copyright (C) 1989, 1990, 1991 by McAfee Associates
  3.              All rights reserved.
  4.            Documentation by Aryeh Goretsky.
  5.  
  6.  
  7.      McAfee Associates               (408) 988-3832 office
  8.      4423 Cheeney Street             (408) 970-9727 fax
  9.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  10.      U.S.A.                          (408) 988-5138 BBS HST 9600
  11.                      (408) 988-5190 BBS v32 9600
  12.                      CompuServe    GO VIRUSFORUM
  13.                      InterNet  mcafee@netcom.com
  14.  
  15.  
  16.  
  17.                 TABLE OF CONTENTS:
  18.  
  19.  
  20. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  21.   - What VIRUSCAN is, system requirements
  22.  
  23. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .2
  24.   - Verifying the integrity of VIRUSCAN
  25.  
  26. WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .3
  27.   - Features, new viruses added in this release
  28.  
  29. OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .4
  30.   - Detailed description of VIRUSCAN
  31.  
  32. OPERATION. . . . . . . . . . . . . . . . . . . . . . . . . . .5
  33.   - How to use VIRUSCAN
  34.  
  35. EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .9
  36.   - Samples of frequently-used options
  37.  
  38. EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .10
  39.   - For running VIRUSCAN from batch files
  40.  
  41. VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .10
  42.   - How to manually remove a virus
  43.  
  44. REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .11
  45.   - How to register VIRUSCAN
  46.  
  47. TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . .11
  48.  - Information you should have ready when calling
  49.  
  50. APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .12
  51.  - Creating a virus string file with the /EXT option
  52.  
  53. APPENDIX B . . . . . . . . . . . . . . . . . . . . . . . . . .13
  54.  - Miscelleaneous Application Notes
  55.  
  56.  
  57.  
  58.  
  59.                     Page 1
  60. VIRUSCAN Version BETA85                                Page 2
  61.  
  62.  
  63. SYNOPSIS
  64.  
  65.      VIRUSCAN (SCAN) is a virus detection and identification
  66. program for the IBM PC and compatible computers.  VIRUSCAN will
  67. search a PC for known computer viruses in memory, the boot sector,
  68. the partition table, and the files of a PC and its disks.  VIRUSCAN
  69. can also detect the presence of unknown viruses.
  70.      SCAN works by searching the system for instruction sequences
  71. or patterns that are unique to each computer virus, and then
  72. reporting their presence if found.  This method works for viruses
  73. that VIRUSCAN recognizes.  SCAN can detect unknown viruses in
  74. files and boot sector by appending validation (CRC) codes to .COM
  75. and .EXE files and then checking the files against their codes for
  76. changes, warning that an infection may have occurred if the file
  77. has been modified in any way, and by checking boot sectors for
  78. generic routines that a boot sector virus must have.  SCAN can check
  79. for new viruses from a user-supplied list of virus search
  80. strings.
  81.      VIRUSCAN runs on any PC with 256Kb and DOS version 2.00 or
  82. greater.
  83.  
  84.  
  85. AUTHENTICITY
  86.  
  87.      VIRUSCAN runs a self-test when executed.  If SCAN has been
  88. modified in any way, a warning will be displayed.  The program will
  89. still continue to check for viruses, though.  If SCAN reports that it
  90. has been damaged, it is recommended that a clean copy be obtained.
  91.      VIRUSCAN versions 46 and above are packaged with the VALIDATE
  92. program to ensure the integrity of the SCAN.EXE file.  The
  93. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
  94. The VALIDATE program distributed with VIRUSCAN may be used to check
  95. all further versions of SCAN.
  96.  
  97.      The validation results for Version BETA85 should be:
  98.  
  99.           FILE NAME: SCAN.EXE
  100.            SIZE: 60,495
  101.            DATE: 12-03-91
  102.     FILE AUTHENTICATION
  103.      Check Method 1: D76E
  104.      Check Method 2: 193C
  105.  
  106. If your copy of SCAN.EXE differs, it may have been modified.
  107. Always obtain your copy of VIRUSCAN from a known source.  The
  108. latest version of VIRUSCAN and validation data for SCAN.EXE can be
  109. obtained off of McAfee Associates' bulletin board system at (408)
  110. 988-4004 or from the Computer Virus Help Forum on CompuServe.
  111.  
  112.      Beginning with Version 72, all McAfee Associates programs for
  113. download are archived with PKWare's PKZIP Authentic File Verification.
  114. If you do not see the "-AV" message after every file is unzipped and
  115. receive the message "Authentic Files Verified! # NWN405  Zip Source:
  116. McAFEE ASSOCIATES" when you unzip the files then do not run them.  If
  117. your version of PKUNZIP does not have verification ability, then this
  118. message may not be displayed.  Please contact McAfee Associates if
  119. your .ZIP file has been tampered with.
  120. VIRUSCAN Version BETA85                                Page 3
  121.  
  122.  
  123. WHAT'S NEW
  124.     
  125.      Version 85 of VIRUSCAN adds several new options as well as
  126. enhancing existing ones:  The ability to NOT add validation codes to
  127. files with the /AV option by creating an exception list of files to
  128. ignore, the option of beeping whenever a virus is found with the /BEEP
  129. switch, the option of displaying messages in Spanish with the /SP switch,
  130. the ability to search a system for files that do not have validation codes
  131. with the /CERTIFY switch, the option to speed up VIRUSCAN's output with the
  132. /FAST switch, the option to skip scanning inside of PKLITE-compressed files
  133. with the /NPKL switch, the abilty to display a help screen by typing /?, /H,
  134. or /HELP, and the ability of storing the options to run VIRUSCAN in a
  135. configuration file.
  136.      Additionally, 76 viruses have been added.  Viruses that have
  137. been reported at multiple sites include the Barcelona virus in Spain,
  138. the Haifa virus in Israel, the Hary and Irish viruses in the U.K., the
  139. New 1701 virus in Finland and Norway, the SBC, Stoned III, and SVC 5.0
  140. viruses in North America.  Other viruses added in this release are the
  141. 123, 233, 370-B, 408, 487, 621, 640, 658, 709, 712, 737, 7th Son, 802,
  142. 812, 1193, 1241, 1463, 1530, Ada, Argentina, ASC, Brothers, Cara, Caz,
  143. Color, COP, CRF, CSL, Day10, DM400, Dutch, Einstein, Error, Got-You,
  144. Grape, H-2, Hero-b, Invol, Joke, Karin, Kiev-1, KU-448, LC, Mono, MPS-11,
  145. MSTU, Parasite, PathHunt, Pirate, Plov, Poem, Pregnant, QML, Reset, SCT,
  146. Sentex, Socha, Suriv 4.02, Squeeker, Stink, Sys, SX, Tony, Travel, V82,
  147. V-5, VTS, and Word-1 viruses.
  148.      For a listing of the viruses that were added, please refer to
  149. the enclosed VIRLIST.TXT file for a short description.  For a more
  150. complete description, please refer to Patricia Hoffman's VSUM listing.
  151.  
  152.  
  153. THE COMPUSERVE COMPUTER VIRUS HELP FORUM
  154.  
  155.      We are now sponsoring the Computer Virus Help Forum on CompuServe.
  156. Updates to VIRUSCAN, information about computer viruses, and
  157. technical support may be obtained by typing GO VIRUSFORUM at any
  158. CompuServe prompt.  A free introductory membership to CompuServe
  159. is also available.  Please read the COMPUSER.NOT file for details.
  160. VIRUSCAN Version BETA85                                 Page 4
  161.  
  162.  
  163. OVERVIEW
  164.  
  165.      VIRUSCAN scans diskettes or entire systems for pre-existing
  166. computer virus infections.  It will identify the virus infecting
  167. the system, and tell what area of the system (memory, boot sector,
  168. file) the virus occupies.  Infected files can be removed with
  169. the overwrite-and-delete option, /D, which will erase the file.
  170. The CLEAN-UP program is also available to disinfect the system and
  171. repair damaged areas whenever possible.
  172.      VIRUSCAN Version 85 identifies all 377 known computer viruses
  173. along with their variants.  Some viruses have been modified so that
  174. more than one "strain" exists.  Counting such modifications, there
  175. are 973 virus variants.  This includes the twenty most common viruses
  176. which account for over 98% of all reported PC infections.  The
  177. accompanying VIRLIST.TXT file lists describes all viruses identified
  178. by SCAN.  The number of variants of each virus is listed in parentheses
  179. after the virus name.
  180.      All known computer viruses infect one or more of the following
  181. areas:  the hard or fixed disk partition table (also known as the master
  182. boot record); the boot sector of hard disks and floppy disks; or one or
  183. more executable files within the system.  Executable files include
  184. operating system files, .COM files, .EXE files, overlay files, or any
  185. other files containing program code.  A virus that infects more than one
  186. area, such as a boot sector and an executable file is called a multipartite
  187. virus.
  188.      VIRUSCAN identifies every system area or file infected, and
  189. indicates both the virus name and CLEAN-UP I.D. code used to remove it.
  190. SCAN will check the entire system, an individual diskette, subdirectory,
  191. subdirectory tree or individual files for pre-existing virus infection.
  192.      VIRUSCAN can also check files for unknown viruses with the Add
  193. Validation and Check Validation options.  This is done by calculating a
  194. checksum for files, appending it to the end of the file, and then
  195. comparing the file against it.  If the file has been modified, the check
  196. will no longer match, indicating that viral infection may have occurred.
  197. VIRUSCAN calculates checksums using two independently-generated CRC (Cyclic
  198. Redundancy Check).  Files which are self-checking or self-modifying should
  199. not be validated since this will set off their own internal checks.  VIRUSCAN
  200. adds validation codes to .COM and .EXE files only.  The validation codes for
  201. the partition table, boot sector, and system files, are kept in a hidden file
  202. called SCANVAL.VAL in the root directory.  To detect boot sector and
  203. partition table (MBR) viruses, SCAN checks the boot sector and MBR for signs
  204. of viral code.  If suspicious code is found, SCAN will report it has found a
  205. Generic Boot Sector or MBR Virus.
  206.      VIRUSCAN can also be updated to search for new viruses via
  207. an External Virus Data File option, which allows the user to
  208. provide the VIRUSCAN program with new search strings for viruses.
  209.      VIRUSCAN can display messages in English, French, or Spanish.
  210.      VIRUSCAN works on stand-alone and networked PC's, but not on
  211. a file server.  For networks, use the NETSCAN file server scanner
  212. instead.
  213. VIRUSCAN Version BETA85                                Page 5
  214.  
  215.  
  216. OPERATION
  217.  
  218. IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
  219. YOUR SYSTEM TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM.
  220.  
  221.      VIRUSCAN will check each area or file on the designated
  222. drive(s) that could be host to a virus.  If a virus is found, a
  223. message is displayed telling the name of the infected file or
  224. system area and the name of the identified virus.  SCAN will
  225. examine files for viruses based on their extensions.  The default
  226. file extensions supported by SCAN are .APP, .BIN, .COM, .EXE, .OV?,
  227. .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.  Additional extensions can
  228. be added to SCAN or all files on disk can be selected for scanning.
  229.  
  230.      To run VIRUSCAN type:
  231.  
  232. SCAN d1: ... d26: /? /A /AV filename BELL /CERTIFY /CHKHI /CV /D /DATE
  233.           /E .xxx .yyy .zzz /EXT filename /FAST /FR /H /HELP
  234.           /MAINT /MANY /NLZ /NOBREAK /NOMEM /NOPAUSE /NPKL
  235.           /REPORT filename /RV /SHOWDATE /SP /SUB @filename
  236.  
  237. Options are:
  238.           \ - Scan root directory and boot area only
  239.     /? /H /HELP - Display help screen
  240.          /A - Scan all files, including data, for viruses
  241.        /AV filename - Add validation codes to specified files
  242.               (the file contains a list of files
  243.               NOT to add validation codes to)
  244.               NOT to add validation codes to)
  245.           /BELL - Beep whenever a virus is found
  246.        /CERTIFY - List files that do not have a validation code
  247.          /CHKHI - Check memory from 0Kb to 1088Kb
  248.         /CV - Check validation codes on files
  249.          /D - Overwrite and delete infected file
  250.           /DATE - Save the date and time VIRUSCAN was last run
  251.   /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
  252.       /EXT filename - Scan using external virus data file
  253.           /FAST - Speed up VIRUSCAN's output
  254.         /FR - Display messages in French
  255.          /M - Scan memory for all viruses
  256.               (see below for specifics)
  257.          /MAINT - Scan MS-DOS 4.0+ boot sector damaged disk
  258.           /MANY - Scan multiple floppies
  259.            /NLZ - Skip internal scan of LZEXE compressed files
  260.        /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
  261.          /NOMEM - Skip memory checking
  262.        /NOPAUSE - Disable screen pause when scanning
  263.           /NPKL - Skip internal scan of PKLITE compressed files
  264.    /REPORT filename - Create report of infected files
  265.         /RV - Remove validation codes from specified files
  266.       /SHOWDATE - Display date and time VIRUSCAN was last run
  267.         /SP - Display messages in Spanish
  268.            /SUB - Scan subdirectories
  269.       @filename - Scan using options from configuration file
  270.     (d1: ... d26: indicate drives to be scanned)
  271. VIRUSCAN Version BETA85                                Page 6
  272.  
  273.  
  274.      The /A option will cause SCAN to check all files on the
  275. referenced drive.  This should only be used if a file-infecting
  276. virus has already been detected.  Otherwise the /A option should
  277. only be used when checking a new program.  The /A option will add
  278. a substantial time to scanning.  This option takes priority over
  279. the /E option.
  280.      The /AV option allows the user to add validation codes to the
  281. files being scanned.  If a full drive is specified, SCAN will
  282. create validation data for the partition table, boot sector, and
  283. system files of the disk as well.  Validation adds ten (10) bytes
  284. to files; the validation data for the partition table, boot sector,
  285. and system files is stored separately in a hidden file in the root
  286. directory of the scanned drive.  Files which are already immunized
  287. against computer viruses or contain self-modifying code should not
  288. have validation codes added to them.  To prevent VIRUSCAN from adding
  289. validation codes to these files, a validation exception list can
  290. be created with the complete path and filename of the each file NOT
  291. to be validated listed on each line.  Only one file should be on a line.
  292. To put a comment in, start a line with the asterisk "*" character.  A
  293. sample file might look like this:
  294.  
  295. *This is MS-DOS 5.00's self-modifying program, SETVER
  296. C:\DOS\SETVER.EXE
  297. *PKWare's PKZIP programs already perform a self-check for viruses
  298. C:\PKWARE\PKZIP.EXE
  299. C:\PKWARE\PKUNZIP.EXE
  300. *WordStar
  301. C:\WORDSTAR\WS.EXE
  302. *Stac Technologies hard disk swapping program
  303. C:\SWAPVOL.COM
  304.  
  305. The validation exception list should be an ASCII text file.  If a word
  306. processor is used to create the list, be sure to save the file as ASCII.
  307. Specify the filename after the /AV switch.  Be sure to include a space 
  308. between the /AV and the filename.
  309.      The /BELL option will cause VIRUSCAN to beep each time a computer
  310. virus is found.
  311.      The /CERTIFY option will audit a system for files that have
  312. validation codes added to them with the /AV switch.  Files that have
  313. no validation code will be reported as being uncertified by VIRUSCAN.
  314.      The /CHKHI option checks the memory above 640Kb that can be
  315. used on AT (286) and 386 systems for computer viruses.  This
  316. includes the 384Kb Upper Memory Area from 640Kb to 1024Kb, and
  317. the 64Kb High Memory Area from 1024Kb to 1088Kb.  On XT systems with
  318. extended memory cards installed, this will cause the first 64K of
  319. RAM to be scanned again.  This option can not be used with the
  320. /NOMEM option.
  321. VIRUSCAN Version BETA85                                Page 7
  322.  
  323.  
  324.      The /CV option checks validation codes inserted by the /AV
  325. option.  If the file has been changed, SCAN will report that the
  326. file has been modified, and that viral infection may have occurred.
  327. Using the /CV option adds about 25% more time to scanning.
  328.  
  329. NOTE:  Some older Hewlett Packard and Zenith PC's modify the boot
  330. sector or partition table each time the system is booted.  This
  331. will cause SCAN to continually notify the user of boot sector or
  332. partition table modifications if the /CV switch is selected.  Check
  333. your system's manual to determine if your system contains
  334. self-modifying boot code.
  335.  
  336.      The /D option tells VIRUSCAN to prompt the user to overwrite
  337. and delete an infected file when one is found.  A file erased by the
  338. /D option can not be recovered.  If the McAfee Associates' CLEAN-
  339. UP program is available, it can be used to disinfect the file.
  340. Boot sector and partition table infectors can not be removed by the /D
  341. option and require the CLEAN-UP virus disinfection program.
  342.      The /DATE option will save the date and time that VIRUSCAN was
  343. last run by updating the date of the SCANVAL.VAL file.  If no
  344. SCANVAL.VAL file exists, VIRUSCAN will create one.
  345.      The /FAST option will speed VIRUSCAN up by displaying less
  346. information on the screen during scanning and by not scanning inside
  347. of LZEXE- and PKLITE-compressed files.  This may cause some viruses to
  348. be missed.
  349.      The /E option allows the user to specify an extension or set
  350. of extensions to scan.  Extensions should include the period
  351. character "." and be separated by a space after the /E and between
  352. each other.  Up to three extensions may be added with the /E.  For
  353. more extensions, use the /A option.
  354.      The /EXT option allows VIRUSCAN to search for viruses from a
  355. text file containing user-defined search strings in addition to the
  356. viruses that already SCAN checks for.  The syntax for using the
  357. external virus data file is /EXT d:filename, where d: is the drive
  358. name and filename is the name of the external virus data file.  For
  359. instructions on how to create an external virus data file, refer
  360. to Appendix A.
  361.  
  362. NOTE:  The /EXT option is intended for users to add strings for
  363.        detection of computer viruses on an interim or emergency
  364.        basis.  When used with the /D option, it will delete
  365.        infected files. This option is not recommended for general
  366.        use and should be used with caution.
  367.  
  368.      The /FR option tells VIRUSCAN to output all messages in French
  369. instead of English.
  370.      The /M option tells VIRUSCAN to check system memory for all
  371. known computer viruses that can inhabit memory.  SCAN by default
  372. only checks memory for critical and "stealth" viruses, which are
  373. viruses which can cause catastrophic damage or spread the infection
  374. during the scanning process.  SCAN will check memory for the
  375. following viruses in any case:
  376. VIRUSCAN Version BETA85                                Page 8
  377.  
  378.  
  379.      1024           1253          1554          1963
  380.      1971           2100          2560          337
  381.      3445-Stealth   4096          512           Anthrax
  382.      Anti-Tel       Brain         Dark Avenger  Darth Vader
  383.      DIR-2/FAT      Disk Killer   Doom2         EDV
  384.      Empire         Fish6         Form          Greemlin
  385.      Invader        Joshi         Microbes      Mirror
  386.      Murphy         Nomenclature  Phantom       Plastique
  387.      Polish-2       P1R (Phoenix) Sentinel      Stoned
  388.      Tequila        Taiwan-3      Whale         Zero-Hunt
  389.  
  390. If one of these viruses is found in memory, SCAN will stop and
  391. advise the user to power down, and reboot the system from a
  392. virus-free system disk. The /M option will add 6 to 20 seconds 
  393. to the scanning time.
  394.      The /MAINT option is used to scan hard disks partitioned with
  395. DOS 4.0 or above that have been damaged by a boot sector or partition
  396. table infecting virus.  Attempts to access disks damaged in such a
  397. manner result in an "invalid media" message being displayed.  The
  398. /MAINT option will only scan the partition table and boot sector,
  399. not the files.
  400.      The /MANY option is used to scan multiple diskettes placed in
  401. a given drive.  If the user has more than one floppy disk to
  402. check for viruses, the /MANY option will allows the user to check
  403. them without having to run SCAN multiple times.  If a system has
  404. been disinfected, the /MANY and /NOMEM options can be used to speed
  405. up scanning of disks.
  406.      The /NLZ option tells VIRUSCAN not to look inside files
  407. compressed with the LZEXE file compression program.  SCAN will
  408. still check the programs for external infections.
  409.      The /NOBREAK option disables Control-C or Control-Break from
  410. stopping VIRUSCAN while running. 
  411.      The /NOMEM option is used to turn off all memory checking for
  412. viruses.  It should only be used when a system is known to be free
  413. of viruses.  The /NOMEM option can not be used with the /CHKHI or /M
  414. options.
  415.      The /NOPAUSE option disables the "More..." prompt that appears
  416. when SCAN fills up a screen with data.  This allows VIRUSCAN to run
  417. on a machine with multiple infections without requiring operator
  418. intervention when the screen fills up with messages from the SCAN
  419. program.
  420.      The /NPKL option tells VIRUSCAN not to look inside files
  421. compressed with the PKLITE file compression program.  SCAN will
  422. still check the programs for external infections.
  423.      The /REPORT option is used to generate a listing of infected
  424. files.  The resulting list is saved to disk as an ASCII text file.
  425. To use the report option, specify /REPORT on the command line,
  426. followed by the device and filename [See EXAMPLES below for
  427. samples].
  428.      The /RV option is used to remove validation codes from a file
  429. or files.  It can be used to remove the validation code from a
  430. diskette, subdirectory, or file(s).  Using /RV on a disk will
  431. remove the partition table, boot sector, and system file
  432. validation.  This option can not be used with the /AV option.
  433. VIRUSCAN Version BETA85                                Page 9
  434.  
  435.  
  436.      The /SHOWDATE option will display the time and date VIRUSCAN was
  437. last run using the /DATE option.
  438.      The /SP option tells VIRUSCAN to output all messages in Spanish
  439. instead of English.
  440.      The /SUB option allows SCAN to scan subdirectories under a
  441. a subdirectory when scanned.  Previously, SCAN would only
  442. recursively check subdirectories if a logical device (e.g., C:)
  443. was scanned.
  444.      The @filename option allows the user to store a list of preferred
  445. options and/or areas of the system to be scanned in a configuration file
  446. and then have SCAN read the options in and execute them.  Options need
  447. to be separated by a space, while system areas (a disk or subdirectory
  448. or file) need to be on a separate line for each entry.  A sample file
  449. might look like this:
  450.  
  451. /A /BELL /CV /NOMEM /REPORT C:\VIRUSCAN\SCAN.LOG
  452. C:
  453. D:\BBS
  454. E:\MCAFEE\CLEAN-UP\CLEAN.EXE
  455.  
  456. The first line contains the VIRUSCAN options while the other lines
  457. contain the name of files, subdirectories, or disks to be scanned
  458. The configuration file should be an ASCII text file.  If a word
  459. processor is used to create the list, be sure to save the file as ASCII.
  460.  
  461.  
  462. EXAMPLES
  463.  
  464.     The following examples are shown as they would be typed in.
  465.  
  466.      SCAN C:
  467.      To scan drive C:
  468.  
  469.      SCAN A:R-HOOPER.EXE
  470.      To scan file "R-HOOPER.EXE" on drive A:
  471.  
  472.      SCAN A: /A /CV
  473.      To scan all files and check validation codes for unknown
  474.      viruses on drive A:.
  475.  
  476.      SCAN B: /D /A
  477.      To scan all files on drive B:, and prompt for erasure of
  478.      infected files.
  479.  
  480.      SCAN C: D: E: /AV /NOMEM
  481.      To add validation codes to files on drives C:, D:, and
  482.      E:, and skip memory checking.
  483.  
  484.      SCAN C: D: /M /A /FR
  485.      To scan memory for all known and extinct viruses, as well
  486.      as all files on drives C: and D:, and output all messages
  487.      in French.
  488.  
  489.      SCAN C: D: /E .WPM .COD
  490.      To scan drives C: and D:, and include files with the
  491.      extensions .WPM and .COD
  492. VIRUSCAN Version BETA85                                Page 10
  493.  
  494.  
  495.      SCAN C: /EXT A:SAMPLE.ASC /BELL
  496.      To scan drive C: for known computer viruses and also for
  497.      viruses added by the user via the external virus data
  498.      file option, and beep whenever a virus is found.
  499.  
  500.      SCAN C: /M /NOPAUSE /REPORT A:INFECTN.RPT
  501.      To scan for all viruses in memory and drive C: without
  502.      stopping, and create a log on drive A: called INFECTN.RPT
  503.  
  504.      SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT
  505.      To scan drives C: and D: for viruses without stopping,
  506.      and create a log on drive B: called VIRUS.RPT
  507.  
  508.      SCAN E:\DOWNLOADS /SUB
  509.      To scan all subdirectories under DOWNLOADS on drive E:
  510.  
  511.      SCAN C: D: E: /FAST /CERTIFY
  512.      To perform a fast scan of drives C:, D:, and E: and
  513.      check for any files that do not have validation codes.
  514.  
  515.      SCAN @C:\SCANOPTN.LST
  516.      To run VIRUSCAN using configuration file SCANOPTN.LST
  517.      in the root directory of drive C:.
  518.  
  519.  
  520. EXIT CODES
  521.  
  522.      VIRUSCAN will set the DOS ERRORLEVEL upon program termination to:
  523.  
  524.      ERRORLEVEL | DESCRIPTION
  525.      -----------+--------------------------
  526.      0      | No viruses found
  527.      1      | One or more viruses found
  528.      2      | Abnormal termination (program error)
  529.  
  530. If a user stops the scanning process, SCAN will set the ERRORLEVEL
  531. to 0 or 1 depending on whether or not a virus was discovered prior
  532. to termination of the SCAN.  The /NOBREAK option can be used to
  533. prevent scanning from being stopped.
  534.  
  535.  
  536. VIRUS REMOVAL
  537.  
  538.      What do you do if a virus is found?  You can contact McAfee
  539. Associates for help with removing viruses by BBS, FAX, telephone,
  540. or Internet.  There is no charge for support calls to McAfee
  541. Associates.
  542.      The CLEAN-UP universal virus disinfection program is available
  543. and will disinfect the majority of reported computer viruses.  It
  544. is updated with each release of the SCAN program to remove new
  545. viruses.  The CLEAN-UP program can be downloaded from McAfee
  546. Associates BBS, the SIMTEL20 archives on the InterNet, the McAfee
  547. Associates' sponsored Computer Virus Help Forum on CompuServe, or
  548. from the agents listed in the enclosed text file.
  549. VIRUSCAN Version BETA85                                Page 11
  550.  
  551.  
  552.      It is strongly recommended that you get experienced help in
  553. dealing with viruses, especially critical viruses that can damage
  554. or destroy data [for a listing of critical viruses, see the /M
  555. option under OPTIONS, above] and partition table or boot sector
  556. infecting viruses, as improper removal of these viruses could
  557. result in the loss of all data and use of the disk(s).
  558.      For qualified assistance in removing a virus, please contact
  559. McAfee Associates directly or check the enclosed AGENTS.TXT file
  560. for an Authorized McAfee Associates Agent in your area.  Agents may
  561. charge McAfee Associates normal support rates for their services.
  562.  
  563. REGISTRATION
  564.  
  565.      A registration fee of $25.00US is required for the use of
  566. VIRUSCAN by individual home users.  Registration is for one year
  567. and entitles the holder to unlimited free upgrades off of McAfee
  568. Associates BBS or CompuServe Computer Virus Help Forum.  When
  569. registering, a diskette containing the latest version may be
  570. requested.  Add $9.00US for diskette mailings.  Only one diskette
  571. mailing will be made.
  572.      Registration is for home users only and does not apply to
  573. businesses, corporations, organizations, government agencies, or
  574. schools, who must obtain a license for use.  Contact McAfee
  575. Associates for more information.
  576.      Outside of the United States, registration and support may be
  577. obtained from the Agents listed in the accompanying AGENTS.TXT
  578. file.
  579.  
  580.  
  581. TECH SUPPORT
  582.  
  583.      For fast and accurate help, please have the following information
  584. ready when you contact the technical support staff:
  585.  
  586.      -    Program name and version number.
  587.  
  588.      -    Type and brand of computer, hard disk, plus any
  589.       peripherals.
  590.  
  591.      -    Version of DOS you are running, plus any TSRs or device
  592.       drivers in use.
  593.  
  594.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  595.  
  596.      -    The exact problem you are having.  Please be as specific
  597.       as possible.  Having a printout of the screen and/or
  598.       being at your computer will help also.
  599.  
  600. McAfee Associates can be contacted by CompuServe Forum, BBS, fax, or
  601. InterNet 24 hours a day, or call our business office at (408) 988-3832,
  602. Monday through Friday, 7:00AM to 5:30PM Pacific Standard Time.
  603.  
  604.      McAfee Associates               (408) 988-3832 office
  605.      4423 Cheeney Street             (408) 970-9727 fax
  606.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  607.      U.S.A                           (408) 988-5138 BBS HST 9600
  608.                      (408) 988-5190 BBS v32 9600
  609.      CompuServe    GO VIRUSFORUM     Internet  mcafee@netcom.com
  610. VIRUSCAN Version BETA85                                Page 12
  611.  
  612.  
  613. If you are overseas, please refer to the AGENTS.TXT file for
  614. a listing of McAfee Associates Agents for support or sales.
  615.  
  616.  
  617. APPENDIX A:  Creating a Virus String File with the /EXT Option
  618.  
  619.      The External Virus Data file should be created with an editor
  620. or a word processor and saved as an ASCII text file.  Be sure each
  621. line ends with a CR/LF pair.
  622.  
  623. NOTE:  The /EXT option is intended for emergency and research use
  624. only.  It is an temporary method for identifying new viruses prior
  625. to the subsequent release of SCAN.  A sound understanding of
  626. viruses and string-search techniques is advised as a prerequisite
  627. for using this option.
  628.  
  629.      The virus string file uses the following format:
  630.  
  631. #Comment about Virus_1
  632. "aabbccddeeff..." Virus_1_Name
  633. #Comment about Virus_2
  634. "gghhiijjkkll..." Virus_2_Name
  635.      .
  636.      .
  637. "uuvvwwxxyyzz..." Virus_n_Name
  638.  
  639.  
  640. Where aa, bb, cc, etc. are the hexadecimal bytes that you wish to
  641. scan for.  Each line in the file represents one virus.  The Virus
  642. Name for each virus is mandatory, and may be up to 25 characters
  643. in length.  The double quotes (") are required at the beginning and
  644. end of each hexadecimal string.
  645.      SCAN will use the string file to search memory, the Partition
  646. Table, Boot Sector, System files, all .COM and .EXE files, and
  647. Overlay files with the extension .BIN, .OV?, .PGM, .PIF, .PRG, .SYS
  648. and .XTP.
  649.  
  650.      Virus strings may contain wild cards.  The two wildcard
  651. options are:
  652.  
  653. FIXED POSITION WILDCARD
  654.      The question mark "?" may be used to represent a wildcard in
  655. a fixed position within the string.  For example, the string:
  656.  
  657.            "E9 7C 00 10 ? 37 CB"
  658.  
  659. would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or any
  660. other similar string, no matter what byte was in the fifth place.
  661.  
  662. RANGE WILDCARD
  663.      The asterisk "*", followed by range number in parentheses "("
  664. and ")" is used to represent a variable number of adjoining random
  665. bytes.  For example, the string:
  666.  
  667.            "E9 7C *(4) 37 CB"
  668.  
  669. would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  670. "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  671. VIRUSCAN Version BETA85                                Page 13
  672.  
  673.  
  674. would not match since the distance between 7C and 37 is greater
  675. than four bytes.  You may specify a range of up to 99 bytes.
  676.  
  677.  
  678. Up to 10 different wildcards of either kind may be used in one
  679. virus string.
  680.  
  681. COMMENTS
  682.      A pound sign "#" at the begining of a line will denote that
  683. it is a comment.  Use this for adding notes to the external virus
  684. data file.  For example:
  685.  
  686.            #New .COM virus found in file FRITZ.EXE from
  687.            #Schneiderland on 01-22-91
  688.            "53 48 45 45 50" Fritz-1 [F-1]
  689.  
  690. Could be used to store a description of the virus, name of the
  691. original infected file, where and when it was received, and so
  692. forth.
  693.  
  694.  
  695. APPENDIX B:  Miscellaneous Application Notes
  696.  
  697.  
  698. CHECKING MEMORY FOR VIRUS ONLY
  699.  
  700.      VIRUSCAN can perform a quick check of for viruses in memory only.
  701. In this mode, the SCAN program will not check the disk for computer
  702. viruses.  This option is useful for network administrators who need
  703. to check workstations for viruses before allowing them to log on to a
  704. LAN but can not run the VSHIELD program due to memory constraints.
  705. The command to enter is:
  706.  
  707.      SCAN NUL /M /CHKHI
  708.  
  709. By designating NUL as the drive to be scanned, the SCAN program will
  710. check system memory for viruses (up to 1088Kb if the /CHKHI option
  711. is used) and then return to DOS without scanning any disks.  SCAN
  712. will set the DOS ERRORLEVEL as it normally does.
  713.  
  714.  
  715. VIRUSCAN VALIDATION CODES
  716.  
  717.      If you have installed any new software or programs on your system,
  718. and are running VIRUSCAN or VSHIELD with the check validation codes
  719. /CV option, you will need to reinstall validation codes to the new
  720. files with the add validation codes /AV option of VIRUSCAN.
  721. Additionally, the SCANVAL.VAL hidden file containing validation codes
  722. for the partition table, boot sector, COMMAND.COM, and system files
  723. may have to be replaced. The MS-DOS 5.00 SETVER.EXE file contains
  724. self-modifying code and can not have a validation code added to it.
  725. The quickest way to update the validation codes is to remove all
  726. validation codes from the hard disk and then add them back on by
  727. running VIRUSCAN with the /RV and then the /AV options, and then
  728. removing the validation code from SETVER.EXE by typing "
  729. SCAN C:\DOS\SETVER.EXE /RV" and pressing enter.
  730. VIRUSCAN Version BETA85                                Page 14
  731.  
  732.  
  733. NOTE: This applies to any new version of DOS, as well as any
  734. programs which you install on your system.
  735.  
  736.  
  737. DOS 5 AND REFORMATTING INFECTING FLOPPIES
  738.  
  739.      If you are reformatting infected floppy disks under DOS 5.0,
  740. be sure to add the /U switch to the FORMAT command.  This tells DOS
  741. to do an Unconditional format of the disk, and not to save the original
  742. (infected) boot sector of the disk.  This should be done to prevent the
  743. virus from reappearing by unformatting the disk.
  744.  
  745.