home *** CD-ROM | disk | FTP | other *** search
/ SDN¹ Plus / SDN1_.cdr / sdn / util1 / clean89b.sdn / CLEAN89.DOC < prev    next >
Text File  |  1992-03-26  |  15KB  |  358 lines
  1.                CLEAN-UP Version 8.4B89
  2.          Copyright (C) 1990, 1991 by McAfee Associates.
  3.              All rights reserved.
  4.             Documentation by Aryeh Goretsky.
  5.  
  6.  
  7.      McAfee Associates                  (408) 988-3832 office
  8.      1900 Wyatt Drive, Suite 8          (408) 970-9727 fax
  9.      Santa Clara, CA  95054-1529        (408) 988-4004 BBS 2400 bps
  10.      U.S.A                              (408) 988-5138 BBS HST 9600
  11.                     (408) 988-5190 BBS v32 9600
  12.                     CompuServe    GO VIRUSFORUM
  13.                     InterNet  mcafee@netcom.com
  14.  
  15.  
  16.  
  17.                 TABLE OF CONTENTS:
  18.  
  19.  
  20.  
  21. SYNOPSIS  . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  22.  - What CLEAN-UP is, system requirements
  23.  
  24. AUTHENTICITY .  . . . . . . . . . . . . . . . . . . . . . . . .2
  25.  - Verifying the integrity of CLEAN-UP
  26.  
  27. WHAT'S NEW . .  . . . . . . . . . . . . . . . . . . . . . . . .3
  28.  - Features, new viruses added in this release
  29.  
  30. OVERVIEW . . .  . . . . . . . . . . . . . . . . . . . . . . . .3
  31.  - General description of CLEAN-UP
  32.  
  33. OPERATION. . .  . . . . . . . . . . . . . . . . . . . . . . . .5
  34.  - How to use CLEAN-UP
  35.  
  36. EXAMPLES . . .  . . . . . . . . . . . . . . . . . . . . . . . .7
  37.  - Samples of frequently-used options
  38.  
  39. REGISTRATION .  . . . . . . . . . . . . . . . . . . . . . . . .8
  40.  - How to register CLEAN-UP
  41.  
  42. TECH SUPPORT .  . . . . . . . . . . . . . . . . . . . . . . . .
  43.  - Information you should have ready when calling
  44.  
  45.                                  
  46.            
  47.  
  48.  
  49.  
  50.                 Page 1
  51. CLEAN-UP Version 8.4B89                                    Page 2
  52.  
  53.  
  54. SYNOPSIS
  55.  
  56.      CLEAN-UP (CLEAN) is a virus disinfection program for IBM PC
  57. and compatible computers.  CLEAN-UP will search through the
  58. partition table, boot sector, or files of a PC and remove a virus
  59. specified by the user. In most instances CLEAN-UP is able to repair
  60. the infected area of the system and restore it to normal usage. 
  61. CLEAN-UP works on all viruses identified by the current version of
  62. the VIRUSCAN (SCAN) program.  CLEAN-UP can also remove unknown viruses
  63. from .COM and .EXE files, partition table, and boot sector that have
  64. had recovery information stored for them by the VIRUSCAN program.
  65.      CLEAN-UP runs on any PC with 320Kb and DOS 2.00 or above.
  66.  
  67.  
  68. AUTHENTICITY
  69.  
  70.      CLEAN-UP runs a self-test when executed.  If CLEAN has been
  71. modified in any way, a warning will be displayed.  The program will
  72. still continue to remove viruses, though.  If CLEAN reports that
  73. it has been damaged, is recommended that a new, clean copy be
  74. obtained.
  75.      CLEAN-UP is packaged with the VALIDATE program to ensure the 
  76. integrity of the CLEAN.EXE file.  The VALIDATE.DOC instructions
  77. tell how to use the VALIDATE program.  The VALIDATE program
  78. distributed with CLEAN-UP may be used to check all further versions
  79. of CLEAN.
  80.  
  81.      The validation results for Version 8.4B89 should be:
  82.  
  83.           FILE NAME: CLEAN.EXE
  84.            SIZE: 92,579
  85.            DATE: 3-26-1992
  86.     FILE AUTHENTICATION
  87.      Check Method 1: CD93
  88.      Check Method 2: 0769
  89.  
  90. If your copy of CLEAN.EXE differs, it may have been modified. 
  91. Always obtain your copy of CLEAN-UP from a known source.  The
  92. latest version of CLEAN-UP and validation data for CLEAN.EXE can be
  93. obtained off of McAfee Associates' bulletin board system at (408)
  94. 988-4004 or from our Computer Virus Help Forum on CompuServe.
  95.      Beginning with Version 72, all McAfee Associates programs for
  96. download are archived with PKWare's PKZIP Authentic File
  97. Verification.  If you do not see the "-AV" message after every file
  98. is unzipped and receive the message "Authentic Files Verified!  
  99. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  100. then do not run them.  If your version of PKUNZIP does not have
  101. verification ability, then this message may not be displayed.
  102. Please contact McAfee Associates if your .ZIP file has been
  103. tampered with.
  104. CLEAN-UP Version 8.4B89                                   Page 3
  105.  
  106.  
  107. WHAT'S NEW
  108.  
  109.      Version 89 of CLEAN-UP adds eight new removers for the 855,
  110. 1241, 1554, Holocausto, M128, Mardi Bro.'s, Mosquito, and Traceback/3066
  111. viruses.
  112.      Please refer to the enclosed VIRLIST.TXT file for a short description
  113. of the new viruses.  For a more complete description, please refer to
  114. Patricia Hoffman's VSUM listing.
  115.  
  116.             
  117. OVERVIEW
  118.  
  119.      CLEAN-UP searches the system looking for the virus you wish
  120. to remove.  When an infected file is found, CLEAN-UP isolates and
  121. removes the virus, and in most cases, repairs the infected file and
  122. restores it to normal operation.  If the file is infected with a
  123. less common virus, CLEAN-UP will then display a warning message and
  124. prompt the user, asking whether to overwrite and delete the
  125. infected file.  Files erased in such a manner are non-recoverable.
  126.      Before running CLEAN-UP, verify the virus infection with the
  127. VIRUSCAN (SCAN.EXE) program.  SCAN will locate and identify the
  128. virus and provide the I.D. code needed to remove it.  The I.D. is
  129. displayed inside the square brackets, "[" and "]."  For example,
  130. the I.D. code for the Jerusalem virus is displayed as "[Jeru]".
  131. This I.D. must be used with CLEAN-UP to remove the virus.  The square
  132. brackets "[" and "]" MUST be included.
  133.      If SCAN finds an unknown virus in a file that had previously had
  134. recovery information stored for it, it will notify the user that an infection
  135. has occurred.  It will not, however, display an I.D. code. 
  136.      NOTE:  When CLEAN is run with the  /GENERIC option to disinfect
  137. files or system areas based on the recovery information stored by SCAN,
  138. no I.D. code should be used.
  139.     Please refer to the VIRUSCAN documentation for instructions in adding
  140. recovery information to your system.
  141. CLEAN-UP Version 8.4B89                               Page 4
  142.  
  143.  
  144.      The common viruses that CLEAN-UP is able to remove
  145. successfully and repair and restore the damaged programs are:
  146.  
  147. 555             730             748             855
  148. 903             1008            1024            1241
  149. 1253            1554            1575/1591*+     170x*
  150. 1992            2000            2100            2560
  151. 3445            4096*+          Air Cop*        Alabama+
  152. Alameda         Antitelefonica  Azusa           Beeper
  153. Black Monday+   Bloody!         Boys            Curse
  154. Dark Avenger*+  DataLock+       December 28+    Devil's Dance
  155. Dir-2           Disk Killer*    EDV*            Empire*
  156. Enigma          Fellowship+     Filler          Fish+
  157. Flash           Flip*+          Form            Generic Boot
  158. Generic MBR     Ghost           Haifa           Holocausto
  159. Invader*+       Irish           Jerusalem*+     Joshi
  160. KeyPress*+      Korea*          Lazy            Lehigh
  161. Liberty+        Lisbon*         Loa Duong       M128
  162. Mardi Bro.'s    Michelangelo    Miky            Mosquito
  163. Murphy*+        Music Bug       Nomenclature    Pakistani Brain*
  164. Perfume         Ping Pong*      Plastique*+     Possessed
  165. Print Screen-2* R-11+           SBC             Slayer
  166. Slow+           Stoned*         Striker+        Sunday+
  167. Sunday2+        SVC+            Taiwan 3+       Taiwan 4+
  168. Tequila         Tokyo           Topo            Traceback/3066
  169. Typo Boot       V800            V-801           VACSINA*+
  170. Vienna*         Violator*+      Whale*+         Yankee Doodle*+
  171. ZeroBug
  172.  
  173. *Denotes virus with more than one strain
  174. +Denotes virus which attaches to overlays
  175.  
  176. AN IMPORTANT NOTE ABOUT .EXE FILES:  Some viruses which infect .EXE
  177. files can not be removed successfully in all cases.  This usually
  178. occurs when the .EXE file loads internal overlays.  Instead of
  179. attaching to the end of the .EXE file, the virus may attach to the
  180. beginning of the overlay area, and program instructions are
  181. overwritten.  CLEAN-UP will truncate files infected in this manner.
  182. If a file no longer runs after being cleaned, replace it from the
  183. manufacturer's original disk.
  184.  
  185. AN IMPORTANT NOTE ABOUT THE STONED VIRUS:  Removing the Stoned
  186. virus can cause loss of the partition table on systems with
  187. non-standard formatted hard disks.  As a precaution, backup all
  188. critical data before running CLEAN-UP.  Loss of the partition table
  189. can result in the LOSS OF ALL DATA ON THE DISK.
  190. CLEAN-UP Version 8.4B89                                   Page 5
  191.  
  192.  
  193. OPERATION:
  194.  
  195. IMPORTANT NOTE:  POWER DOWN YOUR SYSTEM AND BOOT FROM A CLEAN
  196. SYSTEM DISK BEFORE BEGINNING.  RUN THE CLEAN-UP PROGRAM FROM A
  197. WRITE-PROTECTED DISK TO PREVENT INFECTION OF THE PROGRAM.
  198.  
  199.      Power down the infected system and boot from a clean,
  200. write-protected system diskette.  This step will insure that the
  201. virus is not in control of the computer and will prevent
  202. reinfection.  After cleaning, power down the system again, reboot
  203. from the system disk, and run the VIRUSCAN program to make sure the
  204. system has been successfully disinfected.  After cleaning the hard
  205. disk, run the VIRUSCAN program on any floppies that may have been
  206. inserted into the infected system to determine if they have been
  207. infected.
  208.      CLEAN-UP will display the name of the infected file, the virus
  209. found in it, and report a "successful" disinfection when the virus
  210. is removed.  If a file has been infected multiple times by a virus
  211. (possible if the virus does not check to see if it has already
  212. attached to a file) then CLEAN-UP will report that the virus has
  213. been removed successfully for each infection.
  214.  
  215.  
  216.      To run CLEAN-UP type:
  217.  
  218. CLEAN d1: ... d26: [virus ID] /A /CHKHI /E .xxx /FR /GENERIC
  219.            /MAINT /MANY /M /REPORT d:filename /NOPAUSE
  220.  
  221. Options are:
  222.  
  223.            /A - Examine all files for viruses
  224.     /E .xxx .yyy .zzz - Clean overlay extensions .xxx .yyy .zzz
  225.           /FR - Display messages in French
  226.          /GENERIC - Clean unknown viruses
  227.             (see below for details)
  228.            /MAINT - Clean DOS 4.0+ damaged boot sector
  229.         /MANY - Check and disinfect multiple floppies
  230.          /NOPAUSE - Disable screen prompting
  231.    /REPORT d:filename - Create report of cleaned files
  232.           /SP - Display messages in Spanish
  233.      d1: ... d26: - indicate drives to be cleaned
  234.        [virus ID] - Virus identification code - provided by
  235.             VIRUSCAN When it detects a virus.  For a
  236.             complete list of codes, see the
  237.             accompanying VIRLIST.TXT file.
  238.  
  239.          NOTE:  The square brackets "[" and "]" are required.
  240. CLEAN-UP Version 8.4B89                                   Page 6
  241.  
  242.  
  243.      The /A option will cause CLEAN to check all files on
  244. disk.  This should be used if an overlay-infecting virus is
  245. detected.  
  246.      The /E option allows the user to specify an extension or set
  247. of extensions to clean.  Extensions must be separated by a space
  248. after the /E and between each other.  Up to three extensions may
  249. be added with the /E.  For more extensions, use the /A option.
  250.      The /FR option tells CLEAN-UP to display all messages in
  251. French instead of English.
  252.      The /GENERIC option is used to clean files or areas of the system
  253. that have been infected with a new (unknown) virus.  For /GENERIC to work,
  254. the PC must previously (prior to infection) have had SCAN with the /AG option
  255. run on it to store recovery information.
  256.      The /MAINT option is used to clean hard disks partitioned with
  257. DOS 4.0 or above that have been damaged by a boot sector or partition
  258. table infecting virus.  Attempts to access disks damaged in such a
  259. manner result in an "invalid media" message being displayed.  The
  260. /MAINT option will only clean the partition table and boot sector,
  261. not the files.
  262.      The /MANY option is used to clean multiple floppy diskettes.
  263. If the user has more than one floppy disk to check for viruses, the
  264. /MANY option will allows the user to check them without having to
  265. run CLEAN multiple times.
  266.      The /NOPAUSE option disables the "More..." prompt that appears
  267. when CLEAN fills a screen with data.  This allows CLEAN-UP to run
  268. on a machine with multiple infections without requiring operator
  269. intervention when the screen fills up with messages from the CLEAN
  270. program.
  271.      The /REPORT option is used to generate a listing of
  272. disinfected files.  The resulting list can be saved to disk as an
  273. ASCII text file.  To use the report option, specify /REPORT on the
  274. command line, followed by the device and filename.
  275.      The /SP option tells CLEAN-UP to display all messages in
  276. Spanish instead of English.
  277. CLEAN-UP Version 8.4B89                                   Page 7
  278.  
  279. EXAMPLES
  280.  
  281.      The following examples are shown as they would be typed in on
  282. the command line.
  283.  
  284.  
  285.      CLEAN C: D: E: [JERU] /A
  286.       To disinfect drives C:, D:, and E: of the Jerusalem
  287.       virus, searching all files for the virus in the process
  288.  
  289.      CLEAN A: [STONED]
  290.       To disinfect floppy in drive A: of the Stoned virus
  291.  
  292.      CLEAN C:\MORGAN [DAV] /A
  293.       To disinfect subdirectory MORGAN on drive C: of the Dark
  294.       Avenger, searching all files for the virus in the process
  295.  
  296.      CLEAN B: [DOODLE] /REPORT C:YNKINFCT.TXT
  297.       To disinfect floppy in drive B: of the Yankee Doodle
  298.       virus, searching all files in the process, and creating
  299.       a report of disinfected files named YNKINFCT.TXT on drive
  300.       C:
  301.  
  302.      CLEAN C: /GENERIC
  303.       To disinfect drive C: of an unknown virus using recovery
  304.       information stored on the drive by SCAN's /AG option.
  305. CLEAN-UP Version 8.4B89                                    Page 8
  306.  
  307.  
  308. REGISTRATION
  309.  
  310.      A registration fee of $35.00US is required for the use of
  311. CLEAN-UP by individual home users.  Registration is for one year
  312. and entitles the holder to unlimited free upgrades off of McAfee
  313. Associates BBS or CompuServe Computer Virus Help Forum.  When
  314. registering, a diskette containing the latest version may be
  315. requested.  Add $9.00US for diskette mailings.  Only one diskette
  316. mailing will be made.
  317.      Registration is for home users only and does not apply to
  318. businesses, corporations, organizations, government agencies, or
  319. schools, who must obtain a license for use.  Contact McAfee
  320. Associates for more information.
  321.      Outside of the United States, registration and support may be
  322. obtained from the Agents listed in the accompanying AGENTS.TXT
  323. file.
  324.  
  325.  
  326. TECH SUPPORT
  327.  
  328.      In order to facilitate speedy and accurate support, please
  329. have the following information ready when you contact McAfee
  330. Associates:
  331.  
  332.      -    Program name and version number.
  333.  
  334.      -    Type and brand of computer, hard disk, plus any
  335.       peripherals.
  336.  
  337.      -    Version of DOS you are running, plus any TSRs or device
  338.       drivers in use.
  339.  
  340.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  341.  
  342.      -    The exact problem you are having.  Please be specific as
  343.       possible.  Having a print out of the screen and/or being
  344.       at your computer will help also.
  345.  
  346. McAfee Associates can be contacted by CompuServe Forum, BBS or fax
  347. twenty-four hours a day, or call our business office at (408) 988-3832,
  348. Monday through Friday, 7:30AM to 5:30PM Pacific Standard Time.
  349.  
  350.      McAfee Associates             (408) 988-3832 office
  351.      1900 Wyatt Drive, Suite 8     (408) 970-9727 fax
  352.      Santa Clara, California       (408) 988-4004 BBS 2400 bps
  353.      U.S.A  95125-4617             (408) 988-5138 BBS HST 9600
  354.                    (408) 988-5190 BBS v32 9600
  355.                    CompuServe    GO VIRUSFORUM
  356.                    InterNet  mcafee@netcom.com
  357.  
  358.