home *** CD-ROM | disk | FTP | other *** search
/ The PC-SIG Library 13 / PC-Sig Library (13th Edition) (PC-SIG) (1994).ISO / virus / scan104.doc < prev    next >
Text File  |  1993-12-13  |  57KB  |  1,358 lines

  1.  
  2.                           VIRUSCAN Version 9.15V104
  3.                 Copyright (C) 1989 - 1993 by McAfee Associates
  4.                              All rights reserved.
  5.  
  6.                        Documentation by Aryeh Goretsky.
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.           McAfee Associates, Inc.          (408) 988-3832 office
  33.           3350 Scott Blvd, Bldg. 14        (408) 970-9727 fax
  34.           Santa Clara, CA  95054-3107      (408) 988-4004 BBS (25 lines)
  35.           U.S.A.                           USR HST/v.32/v.42bis/MNP1-5
  36.                                            CompuServe        GO MCAFEE
  37.                                            InterNet support@mcafee.COM
  38.  
  39.  
  40.                               TABLE OF CONTENTS:
  41.  
  42.           WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .2
  43.             - New features and viruses in this release
  44.             - System Requirements
  45.  
  46.           OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .3
  47.             - Detection of known viruses
  48.             - Detection of new and unknown viruses
  49.  
  50.           SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .4
  51.             - Technical description of known virus detection
  52.             - Technical description of new/unknown virus detection
  53.  
  54.           AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .5
  55.             - How to verify the SCAN.EXE program file
  56.  
  57.           COMMAND SUMMARY. . . . . . . . . . . . . . . . . . . . . . . .6
  58.             - One-line description of switches
  59.  
  60.           OPTIONS. . . . . . . . . . . . . . . . . . . . . . . . . . . .8
  61.             - Detailed explanation of switches
  62.  
  63.           EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .15
  64.             - Samples of frequently-used options
  65.  
  66.           EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .16
  67.             - Running VIRUSCAN from batch files
  68.  
  69.           VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .16
  70.             - How to manually remove a virus
  71.  
  72.           REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .17
  73.             - How to register VIRUSCAN
  74.  
  75.           TECHNICAL SUPPORT INFORMATION  . . . . . . . . . . . . . . . .17
  76.            - Information you should have ready when calling
  77.  
  78.           OBTAINING THE LATEST VERSION OF VIRUSCAN . . . . . . . . . . .18
  79.            - BBS, CompuServe, and Internet access to SCAN
  80.  
  81.           APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .19
  82.            - Creating a virus string file with the /EXT option
  83.  
  84.           APPENDIX B . . . . . . . . . . . . . . . . . . . . . . . . . .21
  85.            - How to check only memory for viruses
  86.            - Validation codes:  Tips and Tricks
  87.            - Reformatting infected floppies with DOS 5.00 & 6.00
  88.            - Creating a Recovery Disk
  89.  
  90.           APPENDIX C . . . . . . . . . . . . . . . . . . . . . . . . . .23
  91.            - Foreign Language Support
  92.  
  93.                                     Page 1
  94. VIRUSCAN Version 9.15V104                                     Page 2
  95.  
  96.           WHAT'S NEW
  97.  
  98.                This is version of 9.15V104 of VIRUSCAN (SCAN.EXE).
  99.           Beginning with this release, SCAN combines the functionality
  100.           of NETSCAN into VIRUSCAN.  The NETSCAN program will no longer
  101.           be provided by McAfee Associates.  Instead, use VIRUSCAN to
  102.           scan all local and network drives for viruses.
  103.                To compensate for this change, the following options
  104.           have been changed:
  105.  
  106.           ·    The /AD switch has been enhanced to allow all local
  107.                drives, all networked drives, or both to be scanned.
  108.  
  109.           ·    The /BMP switch has been added to scan OS/2 Boot Manager
  110.                partitions for viruses.
  111.  
  112.           ·    The /UNATTEND switch has been made a default setting (it
  113.                was required for networked and multitasking computers).
  114.                A message will be displayed if SCAN cannot open a file:
  115.                "Sorry cannot open file xxxxxxxx.xxx."
  116.  
  117.                Version 104 adds detection of 219 new viruses, bringing the
  118.           total number of known viruses to 1,353, or counting variants,
  119.           2,049 viruses.
  120.                Version 103 was skipped due to a Trojan horse bearing
  121.           that version number reported from Arizona.
  122.  
  123.                For a complete list of known viruses, refer to the enclosed
  124.           VIRLIST.TXT file.  For a description of known viruses please
  125.           refer to Patricia Hoffman's Hypertext VSUM.
  126.  
  127.  
  128.           SYSTEM REQUIREMENTS
  129.  
  130.                SCAN requires 400Kb of free RAM and DOS 2.0 or above.
  131.           VIRUSCAN works with 3Com 3/Share and 3/Open, Artisoft LanTastic,
  132.           AT&T StarLAN, Banyan VINES, DEC Pathworks, IBM LAN Server,
  133.           Microsoft LAN Manager, Novell NetWare, and any other IBMNET or
  134.           NETBIOS compatible network operating systems.  Contact McAfee
  135.           Associates or your local Authorized Agent if you do not see your
  136.           network listed.
  137.  
  138.                SCAN is designed to check floppy, hard, CD-ROM, and
  139.           compressed (SuperStor, Stacker, Doublespace, etc.) disks on
  140.           both stand-alone and networked PC's as well as network file
  141.           servers for pre-existing infections of known and unknown
  142.           viruses.  If you have a Novell NetWare/386 V3.11 file server,
  143.           you may wish to use the NETSHIELD virus prevention NetWare
  144.           Loadable Module instead.
  145.  
  146. VIRUSCAN Version 9.15V104                                     Page 3
  147.  
  148.                SCAN displays messages in English (default); foreign
  149.           language support is available for many other languages.  Please
  150.           refer to APPENDIX C for information on foreign language support.
  151.  
  152.           NOTE:  WRITE-PROTECT THE FLOPPY DISK CONTAINING THE VIRUSCAN
  153.                  (SCAN.EXE) PROGRAM BEFORE SCANNING TO PREVENT VIRUSCAN
  154.                  FROM BECOMING INFECTED BY A COMPUTER VIRUS.
  155.  
  156.  
  157.           OVERVIEW (Known Virus Detection)
  158.  
  159.                VIRUSCAN Version 9.15V104 (filename SCAN.EXE) identifies
  160.           all 1,353 known computer viruses and their variants.  Some
  161.           viruses have been modified so that more than one "strain"
  162.           exists.  Counting such modifications, 2,049 viruses exist.
  163.  
  164.                All known viruses infect one or more of the following
  165.           areas: the hard disk partition table (alias Master Boot Record);
  166.           the DOS Boot Sector of disks; or one or more executable files on
  167.           the system.  Executable files include operating system files,
  168.           .COM files, .EXE files, overlay files, or any other files
  169.           containing program code.  A virus that infects more than one
  170.           area, such as a boot sector and an executable file is called
  171.           a multipartite virus.
  172.  
  173.                SCAN checks files, subdirectories, diskettes or entire
  174.           systems for pre-existing computer virus infections.  In the
  175.           case of infection by a known virus, it will identify the virus
  176.           infecting the system, the area(s) it was found, and the I.D.
  177.           code used by CLEAN-UP to remove it.
  178.  
  179.                Infected files can be removed using the /D switch in SCAN
  180.           to erase the file, or with the CLEAN-UP universal virus removal
  181.           (disinfection) program.  CLEAN-UP is recommended because in most
  182.           cases it will eliminate the virus and fully restore infected
  183.           programs or system areas to normal operation.
  184.  
  185.                The accompanying VIRLIST.TXT file lists describes all
  186.           viruses identified by SCAN and their associated I.D. codes for
  187.           removal by CLEAN-UP.
  188.  
  189.  
  190.           OVERVIEW  (Unknown and New Virus Detection)
  191.  
  192.                SCAN has three separate methods of detecting unknown and
  193.           new viruses:
  194.  
  195.           ·     Validation codes which can be periodically checked against
  196.                 to look for the changes made by a virus to files or system
  197.                 areas.
  198.  
  199.           ·     Generic and Family virus detectors to look for new viruses
  200.                 which are derivatives of older viruses.
  201.  
  202.           ·     External virus signatures to insert new virus signature
  203.                 strings on a temporary basis to SCAN.
  204.  
  205. VIRUSCAN Version 9.15V104                                     Page 4
  206.  
  207.  
  208.           SYNOPSIS (technical description of known virus detection)
  209.  
  210.                SCAN detects known viruses by searching the system for
  211.           strings (sequences of bytes) unique to each computer virus and
  212.           reporting their presence if found.  For viruses which encrypt or
  213.           cipher their code so that every infection of the virus is
  214.           different, SCAN uses detection algorithms (programs) that work
  215.           by statistical analysis, heuristics, or code disassembly.
  216.  
  217.  
  218.           SYNOPSIS (technical description of new/unknown virus detection)
  219.  
  220.               SCAN checks for new or unknown viruses by comparing
  221.           files against previously-recorded validation (checksum) data.
  222.           SCAN has two levels of validation which are stored in three
  223.           separate ways:
  224.  
  225.           ·     A simple 10-byte long validation checksum may be appended
  226.                 to .COM and .EXE files.  If a file has been modified, it
  227.                 no longer matches the checksum and SCAN will report the
  228.                 file may have become infected.  (/AV, /CV, /RV switches)
  229.  
  230.           ·     An enhanced 52-byte validation and recovery data checksum
  231.                 can also be created.  This can be appended to the end of
  232.                 files like the 10-byte checksum, or stored in a separate
  233.                 log file which can be offline (e.g., on floppies) for
  234.                 recovery purposes.  CLEAN-UP can restore infected files,
  235.                 partition tables, or boot sectors using this information.
  236.                 (/AG, /CG, /RG switches and /AF, /CF, /RF switches)
  237.  
  238.           NOTE:  If validation codes are attached to files, SCAN will NOT
  239.                  add codes to the partition table, boot sector, or system
  240.                  files.  Instead, a separate hidden file will be created
  241.                  in the root directory named SCANVAL.VAL containing data
  242.                  for these areas.
  243.  
  244.           NOTE:  Files which are self-checking (e.g., Lotus 1-2-3) should
  245.                  not be validated with the /AV (Add Validation) or /AG
  246.                  (Add Generic) switches which modify files.  Instead, use
  247.                  the /AF (Add File) switch.
  248.  
  249.                SCAN also checks for new or unknown viruses by searching
  250.           for Generic or Family virus strings.  These are strings that
  251.           have been found repeatedly in different viruses.  Since virus
  252.           writers may use the older pieces of code for new viruses, this
  253.           allows SCAN to detect viruses which have not been written yet.
  254.  
  255.                VIRUSCAN can be updated to search for new viruses by an
  256.           External Virus Data File, which allows the user to input new
  257.           search strings for viruses. (/EXT switch)
  258.  
  259.  
  260. VIRUSCAN Version 9.15V104                                     Page 5
  261.  
  262.  
  263.           AUTHENTICITY
  264.  
  265.                Before using SCAN for the first time, verify that it has
  266.           not been tampered with or infected by a virus by using the
  267.           the enclosed VALIDATE program.  For instructions on using
  268.           VALIDATE, please read the VALIDATE.DOC file.
  269.  
  270.                The validation results for Version 9.15V104 should be:
  271.  
  272.                         FILE NAME: SCAN.EXE
  273.                              SIZE: 117,452
  274.                              DATE: 05-03-1993
  275.               FILE AUTHENTICATION
  276.                    Check Method 1: 5771
  277.                    Check Method 2: 1FC0
  278.  
  279.           If your copy of SCAN differs, it may have been damaged or have
  280.           options stored in it with the /SAVE switch.  Run SCAN with only
  281.           the /SAVE option to remove any stored options and then re-run
  282.           VALIDATE.  Always obtain your copy of VIRUSCAN from a known
  283.           source.  The latest version of VIRUSCAN and validation data for
  284.           SCAN.EXE can be obtained from McAfee Associates' bulletin board
  285.           system at (408) 988-4004 or from the McAfee Virus Help Forum on
  286.           CompuServe (GO MCAFEE), or the mcafee.COM anonymous ftp site on
  287.           the Internet.
  288.  
  289.                VIRUSCAN performs a self-check when run.  If SCAN has been
  290.           modified in any way, a warning will be displayed and the user
  291.           will be prompted to either continue or quit.  SCAN can still
  292.           check for viruses, however, if SCAN reports that it has been
  293.           damaged, it is recommended that a clean copy be obtained.
  294.  
  295.                All of McAfee Associates' programs are archived with
  296.           Version 1.10 of PKWare's PKZIP Authentic File Verification.
  297.           When unzipped with Version 1.10 of PKWare's PKUNZIP program,
  298.           an "-AV" will be displayed after each file is unzipped and an
  299.           "Authentic Files Verified! # NWN405  Zip Source: McAFEE
  300.           ASSOCIATES" will appear once all files are unzipped.
  301.  
  302.           NOTE:  If you do not receive the Authentic File Verification
  303.                  messages, you may be using a different version of
  304.                  PKUNZIP, such as V1.93α or V2.04.  Use PKUNZIP Version
  305.                  1.10 to unzip files if you wish to have Authenticity
  306.                  Verification displayed as files are unzipped.
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315. VIRUSCAN Version 9.15V104                                     Page 6
  316.  
  317.  
  318.           COMMAND SUMMARY
  319.  
  320.           IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
  321.                            TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM.
  322.  
  323.                VIRUSCAN checks files and other areas of the system that
  324.           can contain a computer virus.  When a virus is found, SCAN
  325.           identifies the virus and the file or system area where it was
  326.           found.
  327.                SCAN examines files based on their extension.  The default
  328.           extensions supported by SCAN are .APP, .BIN, .COM, .EXE, .OV?,
  329.           .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.  Additional extensions
  330.           can be added with the /E option, or use the /A to check all
  331.           files.
  332.  
  333.  
  334.           Valid options for VIRUSCAN are:
  335.  
  336.                            SCAN {drive(s)} {options}
  337.  
  338.           {drive(s)}       - Indicates a drive or drives to be scanned
  339.  
  340.           Options are:
  341.  
  342.           \                - Scan root directory and boot area only
  343.           /? /H or /HELP   - Displays help screen
  344.           /A               - Scan all files, including data, for viruses
  345.           /AD{x}           - Scan all drives {L = Local, N = Network}
  346.           /AF {filename}   - Store recovery & validation data to {filename}
  347.           /AG {filename}   - Add recovery & validation data to files
  348.                               EXCEPT for those listed in {filename}
  349.           /AV {filename}   - Add validation codes to files EXCEPT for
  350.                               those listed in {filename}
  351.           /BELL            - Beep whenever a virus is found
  352.           /BMP             - Scan OS/2 Boot Manager partition ONLY
  353.           /CERTIFY         - List files that do not have a validation code
  354.           /CF {filename}   - Check for viruses using recovery & validation
  355.                               data stored in {filename}
  356.           /CHKHI           - Check memory from 0Kb to 1,088Kb
  357.           /CG              - Check recovery & validation data on files
  358.           /CV              - Check validation codes on files
  359.           /D               - Overwrite and delete infected files
  360.           /DATE            - Save the date and time SCAN was last run
  361.                               (use /SHOWDATE to display)
  362.           /E .xxx .yyy     - Scan overlay extensions .XXX and .YYY
  363.           /EXT {filename}  - Scan using external virus data from {filename}
  364.           /FAST            - Speed up VIRUSCAN's output
  365.                               (see below for specifics)
  366.           /HISTORY {fname} - Create infection log {fname} appending to old log
  367.           /M               - Scan memory for all viruses
  368.                               (see below for specifics)
  369.  
  370. VIRUSCAN Version 9.15V104                                     Page 7
  371.  
  372.  
  373.           /MAINT           - Scan "invalid media" error (damaged) disk
  374.           /MANY            - Scan multiple disks
  375.           /NLZ             - Skip internal scan of LZEXE-compressed files
  376.           /NOBREAK         - Disable Ctrl-C and Ctrl-Brk during scanning
  377.           /NOEXPIRE        - Do not display expiration notice
  378.           /NOMEM           - Disable memory check
  379.           /NOPAUSE         - Disable screen pause when scanning
  380.           /NPKL            - Skip internal scan of PKLITE-compressed files
  381.           /REPORT {fname}  - Create infection log {fname} deleting the old log 
  382.           /RF {filename}   - Remove recovery & validation data from {filename}
  383.           /RG              - Remove recovery & validation data from files
  384.           /RV              - Remove validation codes from specified files
  385.           /SAVE            - Save specified options as new default options
  386.           /SHOWDATE        - Display the date and time SCAN was last run
  387.                               (use /DATE to save date and time)
  388.           /SUB             - Scan all subdirectories inside a subdirectory
  389.           @{filename}      - Scan using options from {filename}
  390.  
  391.  
  392.  
  393.  
  394.  
  395.  
  396.  
  397.  
  398.  
  399.  
  400.  
  401.  
  402.  
  403.  
  404.  
  405.  
  406.                     [This space left intentionally blank.]
  407.  
  408.  
  409.  
  410.  
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.  
  422.  
  423.  
  424.  
  425. VIRUSCAN Version 9.15V104                                     Page 8
  426.  
  427.  
  428.           OPTIONS
  429.  
  430.                Following is a detailed description of VIRUSCAN's options.
  431.  
  432.           NOTE:  The /AV and /AG switches modify executable files, the
  433.                  /SAVE switch modifies the SCAN.EXE file.  If SCAN is
  434.                  run against a network drive, it must be run from an
  435.                  account with rights to modify files.
  436.  
  437.           NOTE:  Changes made by the /AV, /AG, and /SAVE switches may
  438.                  cause other anti-viral programs to generate a warning.
  439.  
  440.           /A - This option checks all files on the drive scanned and also
  441.           examines a greater portion of files.  This substantially
  442.           increases the time required to scan disks and also increases
  443.           VIRUSCAN's ability to detect viruses in overlay files.  It is
  444.           recommended this switch only be used when installing software
  445.           or if a file-infecting virus has been found.  This option takes
  446.           priority over the /E option.
  447.  
  448.           /AD{x} - This option scans all drives for viruses.  If /ADL
  449.           is used, all local drives are checked, including compressed
  450.           drives and CD-ROM's.  If /ADN is used, all networked drives
  451.           are checked.  To scan local and network drives, use /AD by
  452.           itself.
  453.  
  454.           /AF {filename} - This option logs recovery and validation
  455.           data for .COM and .EXE files, boot sector, and partition table
  456.           of a disk to a user-specified file.  The log file size is about
  457.           20Kb per 1,000 files validated.  Recovery from a virus using the
  458.           /AF information requires the CLEAN-UP (CLEAN.EXE) program.
  459.  
  460.           /AG {filename} - This option allows the user to store recovery
  461.           and validation data for .COM and .EXE files, boot sector, and
  462.           partition table of a disk.  Recovery information adds 52 bytes
  463.           to files.  The recovery information for the partition table,
  464.           boot sector, COMMAND.COM and system files is stored separately
  465.           in a hidden file called SCANVAL.VAL in the root directory of the
  466.           drive being scanned.  {filename} is an optional ASCII text file
  467.           listing files NOT to add recovery and validation data to (see
  468.           NOTE below).  Recovery from a virus using the /AG information
  469.           requires the CLEAN-UP (CLEAN.EXE) program.
  470.  
  471.           /AV {filename} - This option allows the user to store validation
  472.           codes for .COM and .EXE files, boot sector, and partition table
  473.           of a disk.  Validation information adds 10 bytes to files.  The
  474.           validation codes for the partition table, boot sector, system
  475.           files and COMMAND.COM is stored separately in a hidden file
  476.           named SCANVAL.VAL in the root directory of the drive being
  477.           scanned.  {filename} is an optional ASCII text file listing the
  478.           files NOT to add validation codes to (see note below).
  479.  
  480. VIRUSCAN Version 9.15V104                                     Page 9
  481.  
  482.  
  483.           NOTE:  Files which are immunized against viruses or contain
  484.                  self-modifying code should not have validation codes
  485.                  added to them.  To prevent SCAN from adding validation
  486.                  codes to these files, a validation exception list must be
  487.                  created with the path and filename of each file NOT to be
  488.                  validated listed on each line (only one filename for each
  489.                  line).  To put a comment in, start the line with an "*"
  490.                  character.  This sample file contains a list of programs
  491.                  NOT to validate:
  492.  
  493.           *LIST OF FILES NOT TO USE /AV OR /AG OPTIONS WITH
  494.           *
  495.           *This is Nantucket Corp's database program, Clipper
  496.           C:\CLIPPER\BIN\CLIPPER.EXE
  497.           *This is Lotus Development Corp's spreadsheet program, 1-2-3
  498.           C:\123\123.COM
  499.           *This is Microsoft's database program, FoxPro
  500.           C:\FOX\FOXPROLX.EXE
  501.           *This is MS-DOS 5.00's self-modifying program, SETVER
  502.           C:\DOS\SETVER.EXE
  503.           *PKWare's data compression programs already perform a self-check
  504.           C:\PKWARE\PKLITE.EXE
  505.           C:\PKWARE\PKZIP.EXE
  506.           C:\PKWARE\PKUNZIP.EXE
  507.           *SemWare's QEdit text editor (which I am writing this with now)
  508.           C:\SEMWARE\Q.EXE
  509.           *Stac Technologies hard disk swapping program
  510.           C:\SWAPVOL.COM
  511.           *Symantec's Norton Utilities V6.01 disk caching program
  512.           C:\NORTON\NCACHE.EXE
  513.           *WordStar Corp's word processor is self-modifying
  514.           C:\WORDSTAR\WS.EXE
  515.  
  516.                The validation exception list should be an ASCII or DOS
  517.           text file.  If a word processor is used to create the list, be
  518.           sure to save the file as ASCII or DOS Text.
  519.  
  520.           /BELL - This option causes SCAN to beep when a virus is found.
  521.  
  522.           /BMP - This option tells SCAN to check the OS/2 Boot Manager
  523.           partition.  When run with this option, SCAN checks the Boot
  524.           Manager partition and boot sector only.
  525.  
  526.           /CERTIFY -  This option will audit a system for files that have
  527.           validation codes added to them with the /AG or /AV switches.
  528.           Files that have no validation code will be reported as being
  529.           uncertified by VIRUSCAN and an ERRORLEVEL of 3 will be returned
  530.           after SCAN is run.
  531.  
  532. VIRUSCAN Version 9.15V104                                     Page 10
  533.  
  534.  
  535.           /CF {filename} - This option checks recovery and validation data
  536.           stored by the /AF option in {filename}.  If a file or system
  537.           area has changed, SCAN reports that a viral infection may have
  538.           occurred.  Using the /CG option adds about 25% more time to
  539.           scanning.
  540.  
  541.           /CG - This options checks recovery and validation data added by
  542.           the /AG option.  If a file or system area has changed, SCAN
  543.           reports that a viral infection may have occurred.  Using the /CG
  544.           option adds about 25% more time to scanning.  This option takes
  545.           priority over the /CV option.
  546.  
  547.           /CHKHI - This option checks the memory from 640Kb to 1,088Kb
  548.           which can be used on 286 and 386 systems by computer viruses.
  549.           On XT systems, memory may be scanned twice.  Memory above 1,088
  550.           is not addressed directly by the CPU and can not contain viral
  551.           code.  This option cannot be used with the /NOMEM option.
  552.  
  553.           /CV - This option checks validation codes inserted by the /AV
  554.           option.  If a file or system area has been changed, SCAN will
  555.           report that the file or system area has been modified and a
  556.           viral infection may have occurred.  Using the /CV option adds
  557.           about 20% more time to scanning.
  558.  
  559.           NOTE:  Some older Hewlett Packard and Zenith PC's modify the
  560.                  boot sector each time the system is booted.  This causes
  561.                  SCAN to continually report that the boot sector has been
  562.                  modified if the /CF, /CG, or /CV switches are used.
  563.                  Check your system's manual to determine if your PC has
  564.                  self-modifying boot code.
  565.  
  566.           /D - This option tells SCAN to prompt the user to overwrite
  567.           and delete an infected files.  Files erased by the /D option
  568.           can not be recovered.  If the CLEAN-UP program is available,
  569.           it can be used to disinfect the file.  Partition table and boot
  570.           sector viruses can not be removed by the /D option and require
  571.           the CLEAN-UP virus removal program.
  572.  
  573.           NOTE:  If the /D switch is used against a network drive, SCAN
  574.                  must be run from an account with erase or delete rights.
  575.  
  576.           /DATE - This option stores the time and date SCAN was last run.
  577.           This is done by changing the date on the SCANVAL.VAL file.  If
  578.           no SCANVAL.VAL file exists, SCAN will create a 0-byte long one
  579.           in the currently-logged directory.
  580.  
  581.           /E .xxx .yyy - This option allows an additional extension or set
  582.           extensions to be scanned.  Extensions should include a period "."
  583.           character and be separated by a space after the /E.  Up to three
  584.           extensions may be added with the /E.  For more extensions, use
  585.           the /A option instead.
  586.  
  587. VIRUSCAN Version 9.15V104                                     Page 11
  588.  
  589.  
  590.           /EXT {filename} - This option tells SCAN to search for viruses
  591.           using virus search strings from ASCII text file {filename}, in
  592.           addition to the viruses that SCAN looks for.  For instructions
  593.           creating an external virus data file, refer to Appendix A.
  594.  
  595.           NOTE:  The /EXT option provides users with the ability to add
  596.                  strings for detection of viruses on an interim or
  597.                  emergency basis.  When used with the /D option, it will
  598.                  overwrite-and-delete infected files.  This option is not
  599.                  for general use and should be used with caution.
  600.  
  601.           /FAST - This option speeds SCAN up by displaying less on the
  602.           the screen, skipping checking inside of LZEXE- and PKLITE-
  603.           compressed files, and examining a smaller portion of files
  604.           during scanning.  This may reduce the accuracy of SCAN.
  605.  
  606.           /HISTORY {filename} - This option saves the output of SCAN
  607.           to {filename} in ASCII text file format.  If {filename} exists,
  608.           SCAN will add the results of the current scan to the end.
  609.  
  610.           /M - This option tells VIRUSCAN to check system memory for all
  611.           known computer viruses that can inhabit memory.  SCAN by default
  612.           only checks memory for critical and "stealth" viruses, which are
  613.           viruses which can cause catastrophic damage or spread the virus
  614.           infection during the scanning process.  By default, SCAN will
  615.           check memory for the following viruses:
  616.  
  617.              1024           1253          1530          15xx variant
  618.              1963           1971          2153          2560
  619.              3040           337           3445-Stealth  4096
  620.              500            512           557           702
  621.              ABC            Agena         Anthrax       Antitelefonica
  622.              Aragon         arcv          B3            Blood Rage
  623.              Brain          Budo          Caz           CD
  624.              Chang          Coffee Shop   Copyr-ug      Cracky
  625.              Crusher        Dark Avenger  Davis         Dir-2
  626.              DM-330         Doom II       EEL           Empire
  627.              End-of         Evil Genius   ExeBug        Fam
  628.              Feist          Fish          Flu           FORM
  629.              Frodo Soft     Fune          Futhark       Geek
  630.              Greemlin       Green         HA            HBT
  631.              Hellween 1182  Hi            Highland      Horror
  632.              Ice9           Iernim        IOU           Jeru Variant
  633.              Joanna         Joshi         Jump4Joy      Kersplat
  634.              L1             Larry         Leech         LixoNuke
  635.              Lozinsky       Lycee         Magnum        Malaga
  636.              Malaise        Microbes      Mirror        Mocha
  637.              Monkey         Mugshot       Mummy         Murphy
  638.  
  639.  
  640.  
  641.  
  642. VIRUSCAN Version 9.15V104                                     Page 12
  643.  
  644.  
  645.              NCU Li         Ninja         Nomemklatura  NOP
  646.              No-Int         Nygus         Nygus-KL      Ontario-3
  647.              Otto           P1R           PCBB11        Penza
  648.              Phantom        Piazzola      Plastique     Pogue
  649.              Pojer          Problem       Radyum        Rattle
  650.              Reaper         Reklama       Rocko         Sandwich
  651.              SBC            Scr-2         Scroll        Scythe
  652.              Sentinel       Sergant       Silence       Sk
  653.              Sk1            Sma-108a      Soyun         Stealthb
  654.              Sticky         Stoned (Vari) Sunday-2      SVC
  655.              Tabulero       Taiwan3       Ten Bytes     Tequila
  656.              Thursday 12th  Turbo         Turkey        Twin-351
  657.              V2100          V2P6          V600          Vietnamese
  658.              Walker         Whale         Windmill      Yan2050a
  659.              Youth          Zaragoza
  660.  
  661.           If any of the above viruses is found in memory, SCAN will stop,
  662.           tell the user to power down and reboot the system from a virus-
  663.           free system-bootable disk.  This option can not be used with the
  664.           /NOMEM option.
  665.  
  666.           NOTE:  Using the /M option with another anti-viral software
  667.                  package may result in false alarms if the other package
  668.                  does not remove or cipher (hide or otherwise encrypt) its
  669.                  virus search strings in memory.
  670.  
  671.           /MAINT - This option is used to scan hard disks partitioned
  672.           with DOS 4.0 or above that have been damaged by a boot sector
  673.           or partition table infecting virus or non-DOS partitions, such
  674.           as those created by Novell NetWare/386 or IBM OS/2 V2.0 HPFS.
  675.           Attempts to access damaged or non-DOS disks result in an
  676.           "Invalid media" message being displayed.  When SCAN is run with
  677.           this option, only the partition table and boot sector will be
  678.           scanned.
  679.  
  680.           NOTE:  The /MAINT switch can only be used on a local drive.  If
  681.                  you wish to scan the boot sector or partition table of a
  682.                  network drive, SCAN must be run from the file server, not
  683.                  a workstation.
  684.  
  685.           /MANY - This option is used to scan multiple diskettes placed
  686.           in a given drive.  If the user has more than one floppy disk to
  687.           check for viruses, the /MANY option will allows the user to
  688.           check disks without having to re-run SCAN multiple times. After
  689.           the system has been disinfected, the /MANY and /NOMEM options
  690.           options can be used together to speed up the scanning of disks.
  691.  
  692.           /NLZ - This option tells SCAN not to look inside files 
  693.           compressed with LZEXE, a file compression program.  SCAN will
  694.           still check LZEXE-compressed files for viruses that may have
  695.           become infected after LZEXE compression.
  696.  
  697. VIRUSCAN Version 9.15V104                                     Page 13
  698.  
  699.  
  700.           /NOBREAK - This option prevents Ctrl-C or Ctrl-Brk from aborting
  701.           the scanning process.
  702.  
  703.           /NOMEM - This option turns off all memory checks for viruses
  704.           in order to speed up the scanning process.  It should only be
  705.           used when a system is known to be virus-free.  This option can
  706.           not be used with the /CHKHI or /M options.
  707.  
  708.           /NOEXPIRE - This option prevents SCAN from displaying a warning
  709.           message after 7 months warning that it may no longer be current
  710.           with respect to known computer viruses.
  711.  
  712.           /NOPAUSE - This option disables the "More? (H = Help )" prompt
  713.           displayed when SCAN fills up a screen with 24 lines of text.
  714.           This allows SCAN to run on PC's with severe infections without
  715.           requiring operator assistance.
  716.  
  717.           /NPKL - This option tells SCAN not to look inside files
  718.           compressed with PKLITE, a file compression program.  SCAN will
  719.           still check PKLITE-compressed files for viruses that may have
  720.           become infected after PKLITE compression.
  721.  
  722.           /REPORT {filename} - This option saves the output of SCAN
  723.           to {filename} in ASCII text file format.  If {filename} exists,
  724.           SCAN will erase it and replace with the current scan results.
  725.  
  726.           /RF {filename} - This option removes recovery and validation
  727.           data from log file {filename} created by the /AF option.
  728.  
  729.           /RG - This option removes validation and recovery data from a
  730.           file or files validated with the /AG option.  Using the /RG
  731.           switch against a drive removes the SCANVAL.VAL file.  This
  732.           option can not be used with the /AG option.
  733.  
  734.           /RV - This option removes validation codes from a file or files
  735.           validated with the /AV option.  Using the /RV switch against a
  736.           drive removes the SCANVAL.VAL file.  This option can not
  737.           be used with the /AV option.
  738.  
  739.           /SAVE - This option stores any listed options for subsequent
  740.           executions of SCAN.  The options are stored by modifying the
  741.           SCAN.EXE executable file itself.  For example:
  742.  
  743.                SCAN /NOMEM /REPORT C:\SCAN.LOG /NOPAUSE /SAVE
  744.  
  745.           saves the default options to /NOMEM, /REPORT C:\SCAN.LOG and
  746.           /NOPAUSE and will cause SCAN to use these options the next time
  747.           it is run.  If SCAN is run with only the /SAVE switch, all saved
  748.           options are removed and the SCAN.EXE is returned to normal.  If
  749.           you do not wish to modify the SCAN.EXE file, use the @{filename}
  750.           option instead.
  751.  
  752. VIRUSCAN Version 9.15V104                                     Page 14
  753.  
  754.  
  755.           NOTE:  VALIDATE 0.4 must be used to validate SCAN V89 or above
  756.                  if the /SAVE option is used.  /SAVE directly modifies
  757.                  SCAN.EXE in such a manner that validate codes will not
  758.                  match if an older version of VALIDATE is used.  VALIDATE
  759.                  0.4 generates correct validation results if the /SAVE
  760.                  option is used.
  761.  
  762.  
  763.           /SHOWDATE - This option displays the time and date SCAN was last
  764.           run on the specified drive.  No virus checking is performed.
  765.  
  766.           NOTE:  When run with /SHOWDATE, SCAN only displays the last run
  767.                  date.  Viruses will *NOT* be checked for.
  768.  
  769.           /SUB - This option scans all subdirectories inside a
  770.           subdirectory.  Previously, SCAN would only recursively check
  771.           subdirectories if a drive was scanned at the root level (e.g.,
  772.           C:).  Do not use the /SUB switch if you are scanning a drive
  773.           from the root level.
  774.  
  775.           @{filename} - This option allows the user to store a list of
  776.           options and drives to be scanned in a configuration file.
  777.           Options need to be separated by a space, while drives (disks,
  778.           subdirectories, or files) need to be listed on separate lines.
  779.           A sample file might look like this:
  780.  
  781.           /A /BELL /CV /NOMEM /REPORT C:\VIRUSCAN\SCAN.LOG
  782.           C:
  783.           D:\BBS
  784.           E:\MCAFEE\CLEAN-UP\CLEAN.EXE
  785.  
  786.           The first line contains the SCAN options while other lines list
  787.           the names of disks, subdirectories, or files to scan.  The file
  788.           should be an ASCII text file.  If a word processor is used to
  789.           create the list, be sure to save it as ASCII or DOS text.
  790.  
  791.  
  792.  
  793.  
  794.  
  795.  
  796.  
  797.  
  798.  
  799.  
  800.  
  801.  
  802.  
  803.  
  804.  
  805.  
  806.  
  807. VIRUSCAN Version 9.15V104                                     Page 15
  808.  
  809.  
  810.           EXAMPLES
  811.  
  812.                The following examples show different option settings:
  813.  
  814.                SCAN C:
  815.                    To scan drive C:
  816.  
  817.                SCAN F:
  818.                    To scan drive F: on a Novell NetWare LAN for viruses
  819.  
  820.                SCAN F: G: H: /A /D
  821.                    Scans all files on network drives F:, G:, and H:, and
  822.                    prompt for erasure of any infected files, if found.
  823.  
  824.                SCAN C: D: E: /AV /NOMEM
  825.                    Scan for viruses, add validation codes to files on
  826.                    drives C:, D:, and E:, and skip memory checking.
  827.  
  828.                SCAN C: D: /M /A
  829.                    Scan all files on C: and D:, memory for all viruses.
  830.  
  831.                SCAN C: D: /E .WPM .COD
  832.                    Scans drives C: and D:, including .WPM and .COD files 
  833.  
  834.                SCAN C: /EXT A:SAMPLE.ASC /BELL
  835.                    To scan drive C: for known computer viruses and also
  836.                    for viruses added by the user via the external virus
  837.                    data file option, and beep whenever a virus is found.
  838.  
  839.                SCAN M: /M /NOPAUSE /REPORT A:INFECTN.RPT
  840.                    To scan for all viruses in memory and network drive M:
  841.                    without stopping, and create a log file INFECTN.RPT on
  842.                    drive A:
  843.  
  844.                SCAN E:\USER\DUNN E:\USER\LUCAS E:\USER\THOMAS /SUB
  845.                    To scan all subdirectories inside the directories
  846.                    USER\DUNN, USER\LUCAS, and USER\THOMAS on drive E:
  847.  
  848.                SCAN C: D: E: /FAST /CERTIFY
  849.                    To perform a fast scan of drives C:, D:, and E: and
  850.                    check for any files that do not have validation codes.
  851.  
  852.                SCAN @C:\SCANOPTN.LST
  853.                    To run SCAN using configuration file SCANOPTN.LST
  854.                    located in the root directory of drive C:.
  855.  
  856.                SCAN /AD /M
  857.                     Scan all local hard drives, network drives, and memory.
  858.  
  859.  
  860.  
  861.  
  862. VIRUSCAN Version 9.15V104                                     Page 16
  863.  
  864.  
  865.           EXIT CODES
  866.  
  867.                After VIRUSCAN has finished running, it will set the DOS
  868.           ERRORLEVEL.  ERRORLEVEL's are used in batch files to pass the
  869.           results of a program's actions.  The ERRORLEVEL's returned by
  870.           SCAN are:
  871.  
  872.                ERRORLEVEL │ DESCRIPTION
  873.                ═══════════╪══════════════════════════════════════════════
  874.                    0      │ No viruses found
  875.                    1      │ One or more viruses found
  876.                    2      │ Abnormal termination (program error)
  877.                    3      │ One or more uncertified files found
  878.                    4      │ Ctrl-C or Ctrl-Break aborted scan
  879.  
  880.           If a user stops the scanning process, SCAN will set the
  881.           ERRORLEVEL to 4.  If you wish to prevent users from stopping the
  882.           scanning process, then run SCAN with the /NOBREAK option.
  883.  
  884.  
  885.           VIRUS REMOVAL
  886.  
  887.                What do you do if a virus is found?  You can contact McAfee
  888.           Associates for help, their authorized agents, or use the CLEAN-UP
  889.           program.
  890.  
  891.                McAfee Associates can be reached by BBS, CompuServe, FAX,
  892.           Internet, or Telephone and there is no charge for support calls
  893.           to McAfee Associates (Authorized agents may charge normal McAfee
  894.           Associates consulting rates.).
  895.  
  896.                The CLEAN-UP universal virus disinfection program can
  897.           disinfect virtually all reported computer viruses.  It is
  898.           updated with each release of the SCAN program to remove new
  899.           viruses.  CLEAN-UP can be downloaded from McAfee Associates'
  900.           BBS, the McAfee Virus Help Forum on CompuServe, and the
  901.           mcafee.COM and WSMR-SIMTEL20.Army.Mil sites on the Internet, or
  902.           from any of the agents' BBSes listed in the enclosed AGENTS.TXT
  903.           text file.
  904.  
  905.                It is strongly recommended that you get experienced help in
  906.           dealing with viruses if you are unfamiliar with anti-virus
  907.           software and methods.  This is especially true for 'critical'
  908.           viruses and partition table/boot sector infecting viruses as
  909.           improper removal of these viruses can result in the loss of
  910.           all data and the use of the infected disk(s).  [For a listing of
  911.           critical viruses, see the /M switch listed under OPTIONS above.]
  912.  
  913.                Before removing a boot sector or partition table-infecting
  914.           virus, it is recommended that you cold boot the infected PC from
  915.           a clean DOS disk and backup any critical data.
  916.  
  917. VIRUSCAN Version 9.15V104                                     Page 17
  918.  
  919.  
  920.                For qualified assistance in removing a virus, contact
  921.           McAfee Associates directly or any of the Authorized Agents in
  922.           your area.  Agents may charge McAfee Associates' normal consult
  923.           rates for their services.
  924.  
  925.                If you wish to remove a file-infecting virus manually, cold
  926.           boot the PC from a clean (virus-free) DOS system disk and run
  927.           SCAN with the /A and /D switches to erase all infected files.
  928.           Any files removed in this manner can not be recovered.
  929.  
  930.  
  931.           REGISTRATION
  932.  
  933.                A registration fee of US$25.00 is required for the use of
  934.           VIRUSCAN by individual home users.  Registration entitles the
  935.           holder to unlimited free upgrades from McAfee Associates' BBS,
  936.           the Internet, and the McAfee Virus Help Forum on CompuServe as
  937.           well as technical support for one year.  When registering, a
  938.           diskette containing the latest version may be requested for an
  939.           additional US$9.00.  Only one diskette mailing will be made.
  940.                Registration is for home users only and does not apply to
  941.           businesses, corporations, organizations, government agencies, or
  942.           schools, which must obtain a license for use.  Contact McAfee
  943.           Associates directly or an Authorized Agent for more information.
  944.  
  945.  
  946.           TECH SUPPORT
  947.  
  948.                For fast and accurate help, please have the following
  949.           information ready when you contact McAfee Associates:
  950.  
  951.                ·    Program name and version number.
  952.  
  953.                ·    Type and brand of computer, hard disk, plus any
  954.                     peripherals.
  955.  
  956.                ·    Version of DOS plus any TSRs or device drivers in use.
  957.  
  958.                ·    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  959.  
  960.                ·    A printout of what is in memory from the MEM command
  961.                     (DOS 4 and above users only) or a similar utility.
  962.  
  963.                ·    The exact problem you are having.  Please be as
  964.                     specific as possible.  Having a printout of the
  965.                     screen and/or being at your computer will be helpful.
  966.  
  967.           McAfee Associates can be contacted by BBS, CompuServe, FAX, or
  968.           InterNet 24 hours a day, or by telephone at (408) 988-3832,
  969.           Monday through Friday, 7:00AM to 5:30PM Pacific Time.
  970.  
  971.  
  972. VIRUSCAN Version 9.15V104                                     Page 18
  973.  
  974.  
  975.                If you are overseas, you can contact a McAfee Associates
  976.           Authorized Agent.  Agents are located in over 50 countries
  977.           around the world and provide local sales and support for our
  978.           software.  Please refer to the AGENTS.TXT file for a complete
  979.           list of McAfee Associates Agents.
  980.  
  981.  
  982.           OBTAINING THE LATEST VERSION OF McAFEE ASSOCIATES PROGRAMS
  983.  
  984.                McAfee Associates regularly updates the VIRUSCAN series
  985.           of programs every 4 to 6 weeks to add new virus detectors,
  986.           new options, and fix reported bugs.  To distribute these new
  987.           versions, we run a multi-line BBS, CompuServe Forum, and
  988.           Internet node.
  989.  
  990.           BBS ACCESS
  991.  
  992.                Our 25-line BBS is accessible 24 hours a day, 365 days a
  993.           year, except for scheduled downtime and maintenance.  All lines
  994.           run US Robotics Courier HST Dual Standard ASL modems operating
  995.           from 1,200bps to 16,800bps with line settings of 8 data bits, no
  996.           parity, and one stop bit.
  997.  
  998.  
  999.           THE McAFEE VIRUS HELP FORUM ON COMPUSERVE
  1000.  
  1001.                We are now sponsoring the McAfee Virus Help Forum on
  1002.           CompuServe.  To reach the McAfee Virus Help Forum type GO MCAFEE
  1003.           at any CompuServe prompt.  A free introductory membership is
  1004.           available.  For more information, please read the enclosed
  1005.           COMPUSER.NOT file.
  1006.  
  1007.  
  1008.           INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE
  1009.  
  1010.                The latest versions of McAfee Associates' anti-viral
  1011.           software is now available by anonymous ftp (file transfer
  1012.           protocol over the Internet from the site mcafee.COM.  If
  1013.           your domain resolver does not support names, use the IP#
  1014.           192.187.128.1.  Enter "anonymous" for your user I.D. and
  1015.           your own email address for the password.  Programs are
  1016.           located in the pub/antivirus directory.  If you have any
  1017.           questions, please send email to support@mcafee.COM
  1018.  
  1019.                 McAfee Associates' anti-viral software may also be
  1020.           found at the Simtel20 archive site WSMR-SIMTEL20.Army.MIL
  1021.           in the PD1:<MSDOS.VIRUS> directory and its associated
  1022.           mirror sites WUARCHIVE.WUSTL.EDU (US), NIC.SWITCH.CH (Swiss),
  1023.           NIC.FUNET.FI (Finland), SRC.DOC.IC.AC (UK), and
  1024.           ARCHIE.AU (Australia).
  1025.  
  1026.  
  1027. VIRUSCAN Version 9.15V104                                     Page 19
  1028.  
  1029.  
  1030.           APPENDIX A:  Creating a Virus String File with the /EXT Option
  1031.  
  1032.           NOTE:  The /EXT option is intended for emergency and research
  1033.                  use only.  It is a temporary method for identifying new
  1034.                  viruses prior to the subsequent release of SCAN.  A
  1035.                  thorough understanding of viruses and string-search
  1036.                  techniques is advised for using this option.  A string
  1037.                  length of 10 to 15 bytes is recommended.
  1038.  
  1039.                The External Virus Data file should be created with an
  1040.           editor or a word processor and saved as an ASCII text file.  Be
  1041.           sure each line ends with a Carriage Return/Line Feed pair.
  1042.  
  1043.  
  1044.                The virus string file uses the following format:
  1045.  
  1046.           #Comment about Virus_1
  1047.           "aabbccddeeff..." Virus_1_Name
  1048.           #Comment about Virus_2
  1049.           "gghhiijjkkll..." Virus_2_Name
  1050.                .
  1051.                .
  1052.           "uuvvwwxxyyzz..." Virus_n_Name
  1053.  
  1054.  
  1055.           Where aa, bb, cc, etc. are the hexadecimal bytes that you wish
  1056.           to scan for.  Each line in the file represents one virus.  The
  1057.           Virus Name for each virus is mandatory, and may be up to 25
  1058.           characters in length.  The double quotes (") are required at the
  1059.           beginning and end of each hexadecimal string.
  1060.                SCAN will use the string file to search memory, the
  1061.           Partition Table, Boot Sector, System files, all .COM and .EXE
  1062.           files, and overlay files with the extension .APP, .BIN, .COM,
  1063.           .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.
  1064.                Virus strings may contain wild cards.  The two wildcard
  1065.           options are:
  1066.  
  1067.           FIXED POSITION WILDCARD
  1068.                The question mark "?" may be used to represent a wildcard
  1069.           in a fixed position within the string.  For example, the string:
  1070.  
  1071.                              "E9 7C 00 10 ? 37 CB"
  1072.  
  1073.           would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or
  1074.           any other similar string, regardless of the fifth byte.
  1075.  
  1076.  
  1077.  
  1078.  
  1079.  
  1080.  
  1081.  
  1082. VIRUSCAN Version 9.15V104                                     Page 20
  1083.  
  1084.  
  1085.           RANGE WILDCARD
  1086.  
  1087.                The asterisk "*", followed by range number in parentheses
  1088.           "(" and ")" is used to represent a variable number of adjoining
  1089.           random bytes.  For example, the string:
  1090.  
  1091.                              "E9 7C *(4) 37 CB"
  1092.  
  1093.           would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  1094.           "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  1095.           would not match since the distance between 7C and 37 is greater
  1096.           than four bytes.  You may specify a range of up to 99 bytes.
  1097.           Up to 10 different wildcards of either kind may be used in one
  1098.           virus string.
  1099.  
  1100.  
  1101.           COMMENTS
  1102.                A pound sign "#" at the beginning of a line will denote a
  1103.           comment.  Use this for adding notes to the external virus data
  1104.           file.  For example:
  1105.  
  1106.                              #New .COM virus found in file FRITZ.EXE from
  1107.                              #Schneiderland on 01-22-91
  1108.                              "53 48 45 45 50" Fritz-1 [F-1]
  1109.  
  1110.           gives a description of the virus, name of the infected file,
  1111.           where and when it was found, etc.
  1112.  
  1113.  
  1114.  
  1115.  
  1116.  
  1117.  
  1118.  
  1119.  
  1120.  
  1121.  
  1122.  
  1123.  
  1124.  
  1125.  
  1126.  
  1127.  
  1128.  
  1129.  
  1130.  
  1131.  
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137. VIRUSCAN Version 9.15V104                                     Page 21
  1138.  
  1139.  
  1140.           APPENDIX B:  Miscellaneous Application Notes
  1141.  
  1142.  
  1143.           CHECKING MEMORY FOR VIRUSES ONLY
  1144.  
  1145.                VIRUSCAN can perform a quick check for viruses in memory
  1146.           only.  In this mode, SCAN will not check the disk for viruses.
  1147.           This option is useful for network administrators who need to
  1148.           check workstations for viruses before allowing them to log on to
  1149.           a LAN but cannot run the VSHIELD program due to memory
  1150.           constraints.  The command for this is:
  1151.  
  1152.                SCAN NUL /M /CHKHI
  1153.  
  1154.           By designating NUL as the drive to be scanned, SCAN will check
  1155.           system memory for viruses (up to 1088Kb if the /CHKHI option is
  1156.           used) and then return to DOS without scanning any disks.  SCAN
  1157.           returns the DOS ERRORLEVEL in the normal manner.
  1158.  
  1159.  
  1160.           VIRUSCAN VALIDATION CODES
  1161.  
  1162.                If you have installed any new software or programs on your
  1163.           system, and are running VIRUSCAN or VSHIELD with the /CF, /CG,
  1164.           or /CV validation codes options, you will need to reinstall
  1165.           validation codes to the new files with the /AF, /AG, or /AV
  1166.           add validation codes options of SCAN.  In addition, the
  1167.           SCANVAL.VAL hidden file containing validation codes for the
  1168.           partition table, boot sector, COMMAND.COM, and system files may
  1169.           have to be replaced (unhide the file with the DOS ATTRIB command
  1170.           and then delete it).
  1171.                The quickest way to update the validation codes is to
  1172.           remove all validation codes from the hard disk and then add them
  1173.           back by running SCAN with the /RV and then the /AV options.
  1174.  
  1175.           NOTE: This applies to any new version of DOS, as well as any
  1176.                 programs which you install on your system.
  1177.  
  1178.  
  1179.           REFORMATTING INFECTED FLOPPIES WITH DOS 5.00 or 6.00
  1180.  
  1181.                When reformatting infected floppy disks under DOS 5.0, be
  1182.           sure to add the /U switch to the FORMAT command.  This tells DOS
  1183.           to do an Unconditional Format of the disk, without saving the
  1184.           original infected boot sector of the disk.  This should be done
  1185.           to prevent the reinfection by unformatting the disk.
  1186.  
  1187.  
  1188.  
  1189.  
  1190.  
  1191.  
  1192. VIRUSCAN Version 9.15V104                                     Page 22
  1193.  
  1194.  
  1195.           CREATING A RECOVERY DISK USING THE /AF OPTION
  1196.  
  1197.                The /AF switch added in Version 90 of SCAN creates a
  1198.           separate file to store recovery data and validation codes.
  1199.           This file can be stored off-line (on a floppy disk, network
  1200.           drive, tape drive, etc.) and accessed on-demand to check for,
  1201.           and recover from infection by unknown viruses.
  1202.                To create a Recovery Disk, format a system-bootable floppy
  1203.           diskette by typing "FORMAT A: /S" and pressing Enter.  Then,
  1204.           copy the VIRUSCAN (SCAN.EXE) and CLEAN-UP (CLEAN.EXE) files on
  1205.           to it.  Run SCAN against the hard disk with the /AF option.
  1206.           For example:
  1207.                              SCAN C: D: /AF A:\SCANCRC.CRC
  1208.  
  1209.           will scan the C: and D: drives for known viruses and create
  1210.           a file named SCANCRC.CRC containing recovery data and validation
  1211.           codes.  After SCAN finishes, write-protect the disk.
  1212.                To check for virus infection, turn the PC off, insert the
  1213.           Recovery Disk, and turn the power back on.  The PC will now boot
  1214.           from the floppy disk.  At the DOS prompt, type:
  1215.  
  1216.                              SCAN C: D: /CF A:\SCANCRC.CRC
  1217.  
  1218.           to compare drives C: and D: against the recovery data stored
  1219.           in the SCANCRC.CRC file on the A: drive.
  1220.  
  1221.  
  1222.                To disinfect your system, turn your PC off, insert the
  1223.           Recovery Disk, and turn the power back on.  The PC will now
  1224.           boot from the floppy disk.  At the DOS prompt, type:
  1225.  
  1226.                              CLEAN C: D: /GRF A:\SCANCRC.CRC
  1227.  
  1228.           to restore drives C: and D: with the recovery data stored in the
  1229.           SCANCRC.CRC file on the A: drive.
  1230.  
  1231.  
  1232.  
  1233.  
  1234.  
  1235.  
  1236.  
  1237.  
  1238.  
  1239.  
  1240.  
  1241.  
  1242.  
  1243.  
  1244.  
  1245.  
  1246.  
  1247. VIRUSCAN Version 9.15V104                                     Page 23
  1248.  
  1249.  
  1250.           APPENDIX C:  FOREIGN LANGUAGE SUPPORT
  1251.  
  1252.                VIRUSCAN can display messages in a foreign language by
  1253.           reading in a replacement set of messages from an external
  1254.           file named MCAFEE.MSG.  When the MCAFEE.MSG file is placed in
  1255.           the same directory as the SCAN.EXE file, SCAN will display
  1256.           messages from the foreign language module instead of displaying
  1257.           messages in English (American).  Currently, SCAN is bundled with
  1258.           two .MSG files, FRENCH.MSG and SPANISH.MSG, which contain
  1259.           messages in French (European) and Spanish (Latin America),
  1260.           respectively.
  1261.  
  1262.                To use a foreign language module, rename it to MCAFEE.MSG
  1263.           and place it in the same directory as the SCAN.EXE file.  When
  1264.           SCAN is run, it will check for the MCAFEE.MSG file and use it,
  1265.           if found.
  1266.  
  1267.                Support for other languages such as Chinese, Dutch, Finnish,
  1268.           French (Canadian), German, Hungarian, Norwegian, Portuguese,
  1269.           Russian, Spanish (European), Swahili, Swedish and Bulgarian is
  1270.           planned for future releases.  Contact your local McAfee Associates
  1271.           Authorized Agent or McAfee Associates directly for availability.
  1272.  
  1273.  
  1274.  
  1275.  
  1276.  
  1277.  
  1278.  
  1279.  
  1280.  
  1281.  
  1282.  
  1283.  
  1284.  
  1285.  
  1286.  
  1287.  
  1288.  
  1289.  
  1290.  
  1291.  
  1292.  
  1293.  
  1294.  
  1295.  
  1296.  
  1297.  
  1298.  
  1299.  
  1300.  
  1301.  
  1302. VIRUSCAN Version 9.15V104                                     Page 24
  1303.  
  1304.  
  1305. IMPORTANT NOTICE - PLEASE READ!
  1306.  
  1307.           Due to the nature of anti-virus software, the slight chance
  1308.           exists that a virus may be reported in a file that is not
  1309.           infected by that virus.
  1310.  
  1311.           If you receive a report of a virus infection which you believe
  1312.           may be in error, please contact McAfee Associates by telephone
  1313.           at (408) 988-3832, by fax at (408) 970-9727, or upload the file
  1314.           to our BBS at (408) 988-4004 along with your name, address,
  1315.           daytime telephone number, and electronic mail address, if any.
  1316.  
  1317.  
  1318.  
  1319.  
  1320.  
  1321.  
  1322.  
  1323.  
  1324.  
  1325.  
  1326.  
  1327.  
  1328.  
  1329.  
  1330.  
  1331.  
  1332.  
  1333.  
  1334.  
  1335.  
  1336.  
  1337.  
  1338.  
  1339.  
  1340.  
  1341.  
  1342.  
  1343.  
  1344.  
  1345.  
  1346.  
  1347.  
  1348.  
  1349.  
  1350.  
  1351.  
  1352.  
  1353.  
  1354.  
  1355.  
  1356.  
  1357.  
  1358.