home *** CD-ROM | disk | FTP | other *** search

---

/ Nebula / nebula.bin / PC / virus / vshld89.doc

< prev

Wrap

Text File  |  1993-08-08  |  38KB  |  824 lines

---

1.                 VSHIELD Version 4.8B89
2.                  VSHIELD1 Version 0.2 
3.                   CHKSHLD Version 1
4.            Copyright (C) 1989 - 1992 by McAfee Associates.
5.                  All rights reserved. 
6.                Documentation by Aryeh Goretsky.
7.  
8.  
9.  
10.      McAfee Associates             (408) 988-3832 office 
11.      1900 Wyatt Drive, Suite 8     (408) 970-9727 fax
12.      Santa Clara, CA  95054-1529   (408) 988-4004 BBS 2400 bps
13.      U.S.A                         (408) 988-5138 BBS HST 9600 
14.                    (408) 988-5190 BBS v32 9600 
15.                    CompuServe    GO VIRUSFORUM
16.                    Internet  mcafee@netcom.com
17.  
18.                 TABLE OF CONTENTS 
19.  
20.  
21. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
22.  - What VSHIELD is, system requirements 
23.  
24. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . . .2
25.  - Verifying the integrity of VSHIELD 
26.  
27. WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . . .3
28.  - Features, new viruses added in this release 
29.  
30. OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
31.  - Detailed description of VSHIELD 
32.  
33. OPERATION. . . . . . . . . . . . . . . . . . . . . . . . . . . .6
34.  - Options to use with VSHIELD 
35.  
36. EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
37.  - Samples of frequently-used options 
38.  
39. INSTALLATION . . . . . . . . . . . . . . . . . . . . . . . . . .12
40.  - How to install VSHIELD on your system 
41.  
42. ERROR LEVELS . . . . . . . . . . . . . . . . . . . . . . . . . .12
43.  - For running VSHIELD from batch files 
44.  
45. VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . . .13
46.  - What to do if a virus is found 
47.  
48. REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . . .13
49.  - How to register VSHIELD in the U.S. and abroad 
50.  
51. TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . .14
52.  - Information you should have ready when calling 
53.  
54. APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . . .15
55.  - Creating an exception list for the /CERTIFY option
56.  
57. APPENDIX B . . . . . . . . . . . . . . . . . . . . . . . . . . .16
58.  - MS-DOS 5.0 and the /CV switch, sample CHKSHLD program script
59.  
60.                 Page 1
61. VSHIELD Version 4.8B89                                 Page 2
62.  
63.  
64. SYNOPSIS 
65.  
66.      VSHIELD is a virus prevention program for IBM PC and 
67. compatible computers.  It will prevent viruses from infecting your
68. system.  When VSHIELD first loads it will search the PC for known
69. computer viruses in memory, the partition table, boot sector, 
70. system files, and itself and then install itself as a 
71. Terminate-and-Stay-Resident (TSR) program.  It will then scan all
72. programs before allowing the system to execute them.  If any 
73. program contains a virus, VSHIELD will refuse to allow it to 
74. execute.  It will also not allow the system to be warm-booted from
75. any diskette which contains a boot-sector virus.  VSHIELD can 
76. optionally check files that have been validation coded by the 
77. VIRUSCAN (SCAN) program for new, unknown viruses as well as check
78. files for viruses as they are copied or accessed.
79.      VSHIELD monitors a system for viruses by checking programs
80. for virus signatures, checking the validation code added by the 
81. VIRUSCAN program to a file, or both.  Two separate programs are
82. available.  The first, VSHIELD.EXE, checks for known viruses, using
83. virus signatures, as well as unknown viruses by checking validation 
84. codes added with the SCAN program.  The second program, VSHIELD1.EXE, 
85. does validation code checking only.  The VSHIELD programs monitor all 
86. program loads regardless of what disk they occur from, unless otherwise
87. specified.  The supplemental CHKSHLD program can be used to check
88. to see if the VSHIELD is resident in memory.
89.      VSHIELD optionally provides access control functions to reduce
90. the risk of introducing computer viruses from unknown software.
91.      VSHIELD will run on any PC with 256Kb and DOS version 
92. 2.0 or greater.  VSHIELD1 uses 6Kb of system memory.  VSHIELD uses
93. 35Kb of system memory in non-swap mode, or 3Kb if swapping-to-disk
94. is specified.  VSHIELD can be loaded into high memory, in which case
95. 416 bytes of conventional memory is used.
96.  
97.  
98. AUTHENTICITY 
99.  
100.      VSHIELD is packaged with the VALIDATE program to ensure the
101. integrity of the VSHIELD.EXE, VSHIELD1.EXE, and CHKSHLD.EXE files.
102. The VALIDATE.DOC instructions tell how to use the VALIDATE program.
103. The VALIDATE program is distributed with VSHIELD and may be used
104. to check all future versions of VSHIELD. 
105.  
106.      The validation results for the VSHIELD Version 4.8B89 and
107. VSHIELD1 Version 0.2 programs should be: 
108.  
109.       FILE NAME:  VSHIELD.EXE   VSHIELD1.EXE   CHKSHLD.EXE
110.            SIZE:  40,539        11,281         7,787
111.            DATE:  03-25-1992    02-14-1991     12-10-1991
112. FILE AUTHENTICATION
113.      Check Method 1:  39E5          6B40           F9AB
114.      Check Method 2:  132D          103E           01D2
115.  
116. If your copy of the VSHIELD programs differ, they may have been 
117. modified.  Always obtain your copy of VSHIELD from a known source. 
118. The latest version of VSHIELD and validation codes for VSHIELD.EXE
119. and VSHIELD1.EXE can be obtained off of McAfee Associates bulletin
120. board system at (408) 988-4004. 
121. VSHIELD Version 4.8B89                                 Page 3
122.  
123.  
124.      Beginning with Version 72, all McAfee Associates programs for
125. download are archived with PKWare's PKZIP Authentic File
126. Verification.  If you do not see the "-AV" message after every file
127. is unzipped and receive the message "Authentic Files Verified!  
128. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
129. then do not run them.  If your version of PKUNZIP does not have
130. verification ability, then the message may not be displayed. 
131. Please contact McAfee Associates if your .ZIP file has been
132. tampered with.
133.  
134.  
135. WHAT'S NEW
136.      Version 89B fixes a false alarm with the Hafen virus on a program 
137. called monitor.exe.
138.      Version 89 provides three new options for VSHIELD:
139.      The /RECONNECT option allows VSHIELD to regain control of the system
140. interrupts after they have been trapped by another program.  This allows
141. VSHIELD to be loaded before network drivers.  Then, after the network drivers
142. have loaded, VSHIELD can be reconnected without having to be first unloaded
143. from memory.
144.      The /NOCONT option prevents a user from being able to proceed with the
145. execution of programs that have not been certified when VSHIELD is run
146. with the /CERTIFY option.
147.      The /SAVE option allows VSHIELD to be pre-configured by system
148. administrators to default to ignoring drives, load itself high,
149. check memory for non-critical viruses during installation or any other
150. options for their end users.  The /SAVE option will save all of the other
151. options that are specified on the command line.  The saved options will
152. be added to the VSHIELD.EXE file.  This option should be configured by
153. the systems administrator prior to installation on the end-users' machines.
154.      Also added in this release is the capability to detect  
155. nonspecific (new or unknown) file-infecting viruses.  When a file is 
156. detected containing an unknown virus, VSHIELD will report the presence 
157. of a Generic File Virus [GenF].  Files containing a Generic File Virus 
158. can be removed by running SCAN with the /D option, however, please 
159. contact McAfee Associates to send a specimen in for analysis.
160.      Viruses added in this release include the 310, 1030, 1308, 1376, 1385,
161. 1720, Albania, Anti-D, Badsec, Beware, Bob, Busted, Chemist, CKsum, Creeper,
162. Cossiga, DM-B, Dada, DoDo, EMF, Feist, Fist, Hafen, HS, Idle, IMP, JD, Kbug,
163. Kozlov, Malaga, Manola, Mface, Moctezuma, MPS, Mummy, Munich, Mutating, Nines,
164. Pig, Queen's, RNA, Sadist, Scream2, Shield, Sis, Squawk, Surrender, Troi,
165. Ucender, V914, Xuxa, ZMT, and ZRK viruses.
166. VSHIELD Version 4.8B89                                 Page 4
167.  
168.  
169. OVERVIEW 
170.  
171.      VSHIELD is a memory-resident program that prevents viruses 
172. from infecting your computer.  VSHIELD does this by checking 
173. program files before they are loaded into the computer and 
174. executed.  VSHIELD can also check for viruses during a copy
175. operation.  If a virus is found, or a program does not match its
176. validation check, or a file is not on the /CERTIFY list, then
177. VSHIELD will not allow the file to be executed, preventing the 
178. virus from infecting your system.  VSHIELD will also check the disk
179. the computer is booting from for boot sector and partition table 
180. viruses.  In the event that a virus is found, VSHIELD will not 
181. allow the system to reboot and will prompt the user to insert a 
182. clean, write-protected boot disk and run the VIRUSCAN program 
183. to determine the extent of the infection. 
184.      When VSHIELD is placed in the AUTOEXEC.BAT file, it will 
185. install itself each time the system is turned on or rebooted.  It
186. will proceed to check the memory, partition table, boot sector, 
187. system files, and itself for viruses and then install itself as a
188. Terminate-and-Stay-Resident (TSR) program.  It then monitors all
189. program loads for viruses.  If a virus is found using Level I 
190. protection, a warning message will be displayed stating the name
191. of the modified file.  If a virus is found using Level II or III
192. protection, a warning message will be displayed stating the 
193. filename and name of the virus.  Loading will then be terminated,
194. preventing infection of the system by the infected program. 
195. If a program is loaded using the /CERTIFY option that has not been 
196. validated or is not on the exception list, then a message will 
197. be displayed saying that access has been denied. 
198.      When the power is turned off and the system is booted (without
199. VSHIELD) off an infected floppy, VSHIELD will detect the 
200. infection the next time VSHIELD is executed.  VSHIELD level II and
201. III protection will also prevent partition table and boot sector
202. infector viruses from infecting the system during a a warm reboot
203. of the system (Ctrl-Alt-Del).  It does this by examining the
204. diskette being booted from and halting the reboot process if a
205. virus is found. 
206.  
207. VSHIELD has four levels of user-selectable protection: 
208.  
209. -    Level I protection, provided by the VSHIELD1 program, checks
210.      the Cyclic Redundancy Check (CRC) validation code values added
211.      to programs by the VIRUSCAN program's /AV option.  If a 
212.      program no longer matches its validation code VSHIELD1 will
213.      not allow it to execute.  VSHIELD1 will also check the 
214.      partition table and boot sector validation codes, if present.
215.      Level I protection provides a minimal degree of protection,
216.      and it is recommended that Level II protection or above be 
217.      used if system resources permit. 
218. VSHIELD Version 4.8B89                                 Page 5
219.  
220.  
221. -    Level II protection, provided by the VSHIELD program, checks
222.      program files for virus signatures.  A virus signature is a 
223.      piece of code or pattern unique to each computer virus strain.
224.      VSHIELD will check the memory, partition table, boot sector,
225.      system files, and itself for viruses before installing itself
226.      as a TSR program.  It will then check programs loaded after
227.      it installs itself for computers viruses.  If a virus is 
228.      found, VSHIELD will not allow the program to execute.  VSHIELD
229.      will also not allow a computer to be warm-rebooted from a
230.      diskette infected with a partition table or boot sector 
231.      infector. 
232.  
233. -    Level III protection is a combination of Level I and Level II
234.      Protections. 
235.  
236. -    Level IV protection is access control and allows the user to
237.      specify which programs can and can not be run.  Level IV 
238.      protection can be set up so that only programs that are listed
239.      in a certification file may be run on a given system.  It may
240.      also be set up so that only those programs that have been
241.      validated by VIRUSCAN may be run. 
242.  
243. Each level of protection has its advantages and disadvantages. 
244.  
245.      The Level I protection, VSHIELD1, requires the least amount
246. of system overhead, using 6Kb of system memory.  It provides
247. minimal protection, however. 
248.      The Level II, III, and IV protections requires 35Kb of system
249. memory, but this can be reduced to 3Kb by using the /SWAP option or
250. 416 bytes with the /LH option.
251.      The /SWAP option leaves a VSHIELD kernel in memory that swaps
252. the main body of the program in and out of memory as needed. 
253.      VSHIELD will add an average of three seconds to each program
254. load, and six seconds to each reboot.  Using the /SWAP option adds
255. an additional 0.6 seconds to each program load.  VSHIELD
256. will not degrade the performance of the system in any way once a
257. program has been loaded, unless the /ACCESS or /COPY options are
258. chosen. 
259.      VSHIELD1 will add an average of 1 second to each program load.
260.  
261. NOTE:  VSHIELD and VSHIELD1 should not be used simultaneously.  
262. Either one or the other should be selected.
263.  
264.      The CHKSHLD program is run to check if VSHIELD is resident in
265. memory.  A general check can be performed to see if the program is
266. resident, or a detailed check can be performed to see if a specific
267. version is in memory--this feature can be used to update a workstation
268. if it is running an outdated version of the VSHIELD program.
269. VSHIELD Version 4.8B89                                 Page 6
270.  
271.  
272. OPERATION
273.  
274. IMPORTANT  NOTE:   CREATE A BACKUP DISK  BY COPYING  THE  VSHIELD
275. PROGRAMS TO A BLANK FLOPPY AND WRITE-PROTECTING IT BEFORE RUNNING
276. THE PROGRAMS.  THIS WILL GIVE THE USER A VALID BACKUP IN CASE THE
277. PROGRAMS BECOME INFECTED. 
278.  
279.      VSHIELD and VSHIELD1 will monitor your system for attempts to
280. load an infected program.  If an infected program is loaded, 
281. VSHIELD will display a message stating the name of the file, the
282. virus infecting it, and will prevent the file from being executed;
283. and VSHIELD1 will display a message stating the name of the file,
284. the fact that it has been modified, and will prevent the file from
285. being executed.  CHKSHLD can be used to determine if the VSHIELD program
286. is in memory and also check for a specific version.
287.  
288.  
289. A NOTE ON VSHIELD'S SWITCHES
290.  
291.      VSHIELD is designed to provide a high degree of protection even without
292. using of any of the switches listed below.  Placing VSHIELD in the the
293. AUTOEXEC.BAT file without any options will provide sufficient protection
294. for almost all environments.  In some cases where free memory is a problem,
295. /LH (Load High) or /SWAP (Swap-to-Disk) options can be used to minimize
296. memory usage.
297.      Other options should be used only if required due to an unusual
298. system configuration or extra security needs:  The /COPY and /ACCESS options
299. (which prevent copying viruses and notifying the user when an infected
300. file is accessed, respectively) require additional system overhead, yet
301. provide only marginally increased protection.  Copying a virus onto a system
302. does NOT infect the system.  The infected program must still be executed for
303. infection to take place.  Running VSHIELD with no options will still prevent
304. a virus from infecting the system.
305.      VSHIELD provides many options that allow for flexibility in meeting
306. corporate, networking, and secure environment needs, but the trade-offs in
307. system overhead or user restrictions must be carefully examined when
308. choosing options.
309. VSHIELD Version 4.8B89                                 Page 7
310.  
311.  
312.      To run VSHIELD type:
313.  
314. VSHIELD /ACCESS /CERTIFY filename /CHKHI /CONTACT message /COPY /CV
315.     /F pathname /IGNORE d1:...d26: /LH /LOCK /M /NB /NODISK /NOBREAK
316.     /NOCONT /NOMEM /RECONNECT /SAVE /SWAP pathname /WINDOWS /ONLY d1:...d26:
317.  
318. Options are: 
319.  
320.         /ACCESS - Check for viruses whenever file is opened
321.   /CERTIFY filename - Enable access control with exception list
322.          /CHKHI - Check memory from 0-1088Kb for viruses
323.    /CONTACT message - Display message when virus is found
324.           /COPY - Check for viruses during COPY operations
325.         /CV - Check validation codes added by VIRUSCAN 
326.    /IGNORE d1...d26 - Ignore program loads from drives d1:...d26:
327.         /LH - Load VSHIELD Into High Memory (DOS 5.0 Only)
328.           /LOCK - Halt and freeze system when virus is found
329.          /M - Scan memory for all viruses during install
330.               (see restrictions below)
331.         /NB - Disable boot sector checking
332.        /NOBREAK - Disable Ctrl-C / Ctrl-Brk during installation
333.         /NOCONT - Disallow execution of non-certified programs
334.         /NODISK - Allow load onto diskless workstation from file server
335.          /NOMEM - Skip memory checking
336.      /ONLY d1...d26 - Only check program loads from specified drives
337.      /RECONNECT - Re-link system interrupts after network is loaded
338.         /REMOVE - Uninstall VSHIELD from memory
339.           /SAVE - Save command line settings as new default settings
340.      /SWAP pathname - Install VSHIELD kernel as memory-resident 
341.     /F pathname - Required for DOS 2.0 or earlier with /SWAP option
342.        /WINDOWS - Enable checking of DOS processes under Windows
343.  
344.      The /ACCESS option causes VSHIELD to check programs for viruses
345. any time that a program file is Opened for access for any reason.  This
346. option should only be used in high virus risk environments or by software
347. developers.  It will, for example, prevent a developer from zipping a virus
348. infected file into an archive for distribution.  The /ACCESS option will slow
349. down program start-up processes under WINDOWS and may slow down file copies
350. using DOS Shell routines.  Using the /CV option with the /ACCESS option is
351. not recommended since the combined overhead of the two functions may
352. substantially slow down program loads.  The /ACCESS option cannot be used
353. with the /COPY or /SWAP options.
354. VSHIELD Version 4.8B89                                 Page 7
355.  
356.  
357.      The /CERTIFY option allows a system administrator to control
358. access to executable files.  This can be used to prevent
359. unauthorized software from running that could introduce a computer
360. virus.  When run with the /CV option, /CERTIFY allows only files
361. that have had validation codes inserted into them with the VIRUSCAN
362. program to execute.  An exception list of "trusted" files can also
363. be made to allow files on the exception use to be executed.  if
364. /CERTIFY is used wothout the /CV option, then only those programs
365. in the exception list will be allowed to run on the system.  For
366. instructions on how to create an exception list, refer to Appendix A.
367.  
368. NOTE:  Running /CERTIFY without /CV option or an exception list
369. will prevent all programs other than DOS internal commands from 
370. being run.
371.  
372.      The /CHKHI option checks the memory above 640Kb that can be
373. used on AT (286) and 386 systems for computer viruses.  This
374. includes the 384Kb Upper Memory Area from 640Kb to 1024Kb, and
375. the 64Kb High Memory Area from 1024Kb to 1088Kb.  On XT systems with
376. extended memory cards installed, this will cause the first 64K of
377. RAM to be scanned again.  This option can not be used with the
378. /NOMEM option.
379.      The /CONTACT option displays a contact name and phone number
380. when a virus is found.  The name and number message can be fifty
381. (50) characters long, and can contain any characters.  If the
382. message begins with a slash "/" or a hyphen "-" then the message
383. must placed in quotation marks.  The backslash character "/" can
384. not be used in the /CONTACT message
385.      The /COPY option allows VSHIELD to check files for viruses
386. as they are copied using the DOS COPY command.  The boot sector of 
387. the first bootable floppy drive will also be checked for viruses 
388. during copy and directory operations.  This option can not be used 
389. with the /SWAP option.  The /COPY option does not work with the 4DOS or
390. NDOS replacement command interpreters for COMMAND.COM.  If you are using
391. them, use the /ACCESS switch instead of /COPY
392.  
393.  
394.      The /CV option checks validation codes inserted by the
395. VIRUSCAN program to provide Level III protection as defined above. 
396. If a file no longer matches its validation code, VSHIELD will 
397. report that the file has been modified, that viral infection may
398. have occurred, and will not allow the program to execute.  If the
399. /CV option is not specified, VSHIELD will provide Level II (virus
400. signature) checking only.  For information about the installation 
401. of CRC validation codes, please refer to the VIRUSCAN program 
402. documentation. 
403. VSHIELD Version 4.8B89                                 Page 8
404.  
405.  
406.      The /F option is required if the user wishes to use the /SWAP
407. command and is running DOS 2.0 or earlier.  The /F option tells 
408. VSHIELD where it has been loaded from.  The complete pathname must
409. be specified. 
410.      The /IGNORE option will specify which drive(s) to ignore
411. program loads off of.  Drives which are ignored will NOT be checked
412. for viruses.  Up to twenty-six drives may be ignored. This option
413. is for use with network operating systems that have existing virus
414. protection and is not recommend for use on stand-alone PC's or
415. networks which have no anti-viral features in use.
416.      The /LH option loads VSHIELD into the High Memory Area on
417. 80386 systems running MS-DOS 5.0 or above or 80286 systems using
418. QEMM.
419.      The /LOCK option will halt the system if a virus is found so
420. that processing cannot continue.
421.      The /M option tells VSHIELD to check system memory for all
422. known computer viruses that are memory resident before installing
423. itself.  By default, VSHIELD only checks memory for critical and
424. "stealth" viruses, which are viruses that can cause damage or
425. spread during the scanning process.  If a critical or "stealth"
426. virus is found, VSHIELD will stop the system and advise the user
427. to cold boot the machine from a clean copy of DOS and scan the
428. system for viruses.  For a listing of critical viruses, please
429. refer to the VIRUSCAN documentation.
430.      The /NB option will tell VSHIELD not to look at the partition
431. table and boot sector.
432.      The /NOBREAK option disables Control-C and Control-Brk from
433. stopping VSHIELD during installation.
434.      The /NOCONT option prevents the user from proceeding after the
435. "Proceed Anyway? Y/N" message when running non-certified programs.
436.      The /NODISK option allows VSHIELD to be run on a diskless
437. workstation from a network disk drive.  This option disables the
438. partition table and boot sector checking during installation.
439.      The /NOMEM option is used to turn off all memory checking for 
440. viruses during installation.  It should only be used when a system
441. is known to be free of viruses.  This option can not be used with
442. the /M option. 
443.      The /ONLY option tells VSHIELD which drives to check program
444. loads off of.  All other drives will be ignored.  This option can
445. not be used with the /IGNORE option.
446.      The /RECONNECT option is used to regain control of the system
447. interrupts after they have been trapped by another program, such as
448. network device drivers.  It may be used to re-link VSHIELD after the
449. drivers are loaded.  This prevents having to unload VSHIELD from memory
450. and then re-loading it.
451.      The /REMOVE option will uninstall the VSHIELD program and 
452. remove it from memory.  If other memory-resident programs prevent
453. VSHIELD from being uninstalled an error message will appear. 
454. VSHIELD Version 4.8B89                                 Page 9
455.  
456.  
457.      The /SAVE option is used to store VSHIELD  options for subsequent 
458. executions of VSHIELD.  The options are saved by modifying the 
459. VSHIELD.EXE executable file.  For example:
460.  
461.      VSHIELD /LH /M /NOBREAK /SAVE
462.  
463. will set the VSHIELD defaults to /LH, /M, and /NOBREAK.  If VSHIELD is
464. run with just the /SAVE switch, then all options will be removed and
465. VSHIELD will execute with the original VSHIELD defaults.
466.  
467.      The /SWAP option tells VSHIELD to install only its kernel as
468. memory resident.  The VSHIELD program will then be swapped in and
469. out of memory as needed from a hard disk or RAM disk.  The 
470. placement of a path after the /SWAP command is optional, and should
471. only be used if VSHIELD is to be swapped from other than the path
472. from which it is being executed.  The /SWAP option can not be used
473. with the /COPY or /ACCESS options.
474.  
475. NOTE:  The /SWAP parameter should only be used if the computer has
476.        a limited amount of system memory available for memory-resident
477.        programs.  It is recommended that VSHIELD be used without the /SWAP
478.        option whenever memory permits.
479.  
480.      The /WINDOWS option should be used when running Windows 3.0.
481. It will allow VSHIELD's messages to be displayed properly. If the
482. /WINDOWS option is used without Windows, it will have no effect.
483.  
484.  
485.      To run VSHIELD1 type: 
486.  
487. VSHIELD1 /NB /REMOVE
488.  
489. Options are: 
490.  
491.       /NB - Bypass boot sector checking 
492.       /REMOVE - Uninstall VSHIELD1 from memory
493.  
494.      The /NB option will tell VSHIELD not to look at the partition
495. table and boot sector.  This option should only be used if VSHIELD1
496. continually reports that the boot sector has been modified.  This
497. occurs on some old Hewlett Packard and Zenith systems because they
498. modify the boot sector each time the system is booted.  Check your
499. system's manual to determine if your system contains self-modifying
500. boot code. 
501.      The /REMOVE option will uninstall the VSHIELD1 program and
502. remove it from memory.  If other memory-resident programs prevent
503. VSHIELD1 from being uninstalled an error message will appear.
504. VSHIELD Version 4.8B89                                 Page 10
505.  
506.  
507.      To run CHKSHLD type:
508.  
509. CHKSHLD /DEBUG /Q /V xxxxx /? /H /HELP
510.  
511. Options are:
512.  
513.     /DEBUG - Display version and errorlevel on screen
514.         /Q - Quiet mode (display no messages on screen)
515.       /V xxxxx - Check to see if version 'xxxxx' of VSHIELD is installed
516.    /? /H /HELP - Display help screen
517.  
518.      The /DEBUG option will display the version of VSHIELD installed (if
519. resident) in memory and the errorlevel returned on the screen.
520.      The /Q option will prevent any information from being displayed
521. when CHKSHLD is run.
522.      The /V xxxxx switch will check to see if Version "xxxxx" of
523. VSHIELD is in memory, for example, "4.3V84" for VSHIELD 4.3V84.
524.      The /?, /H, or /HELP switches will display a help screen.
525.  
526. CHKSHLD's ERRORLEVELS
527.  
528.      CHKSHLD will set the DOS ERRORLEVEL to one of the following values
529. when run:
530.  
531.      ERRORLEVEL ‡ DESCRIPTION
532.      ˜˜˜˜˜˜˜˜˜˜˜¯˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜
533.      0      ‡ VSHIELD is resident in memory, or if /V is used, the
534.         ‡      version specified is resident in memory.
535.      1      ‡ VSHIELD is resident in memory but doesn't match /V
536.      2      ‡ VSHIELD is NOT resident in memory
537.      3      ‡ Abnormal termination (program error)
538.  
539. OPERATION
540.  
541.      CHKSHLD is primarily for network administrators to check users'
542. systems for VSHIELD before allowing them to log on to a network.  It is
543. not recommended for use by home users or anyone not running a network.
544.      A sample login script for Novell NetWare is included in Appendix B.
545. VSHIELD Version 4.8B89                                 Page 11
546.  
547.      
548. EXAMPLES 
549.  
550.     The following examples are shown as they would be typed in on
551. the command line. 
552.  
553.      VSHIELD
554.       To install VSHIELD (Level II protection) 
555.  
556.      VSHIELD /CV 
557.       To install VSHIELD (Level III protection) 
558.  
559.      VSHIELD /CV /CERTIFY EXCPTN.LST
560.       To Install VSHIELD (Level IV protection) with CRC and
561.       exception list checking.
562.  
563.      VSHIELD /SWAP 
564.       To install VSHIELD kernel only as memory resident and 
565.       swap from root directory of disk on DOS 3.0+ system 
566.  
567.      VSHIELD /SWAP /F C:\VSHIELD.EXE 
568.       To install VSHIELD kernel only as memory resident and 
569.       swap from root directory of disk on DOS 2.0 system 
570.  
571.      VSHIELD /CV /CONTACT "Please Contact the PC Help Desk"
572.       To install VSHIELD using Level III protection, and
573.       display a message if virus is found.
574.  
575.      VSHIELD /M /CHKHI /CV /LH /WINDOWS
576.       To install VSHIELD checking for all memory resident
577.       viruses in conventional memory, Upper Memory Blocks and
578.       the High Memory Area prior to installation with Level
579.       III protection, loading itself high, and with Windows
580.       compatibility mode turned on.
581.       
582.      CHKSHLD /V 4.3V84 /Q
583.       To check for VSHIELD 4.3V84 in memory and not display
584.       any messages on the screen.
585.  
586.  
587. VSHIELD Version 4.8B89                                 Page 12
588.  
589.  
590. INSTALLATION 
591.  
592.      VSHIELD and VSHIELD1 should normally be placed at the
593. end of the AUTOEXEC.BAT file.  The exception to this is any
594. AUTOEXEC.BAT that contains a menu program, such as MS-DOS's
595. DOSSHELL program, PC Tool's PC Shell, or Norton Commander.
596. If using such a program, VSHIELD or VSHIELD1 should be
597. loaded before it.
598.      CHKSHLD should normally be used in the batch file used to
599. log a user into a LAN.  The program will return an errorlevel which
600. can be used to determine if VSHIELD is resident or an old version of
601. VSHIELD is installed on the PC, in which case it can be updated from
602. the current version stored on the file server.
603.  
604.  
605. A NOTE ON VSHIELD AND NETWORKS
606.  
607.      If network drivers are being used, VSHIELD *MUST* be run again
608. with the the /RECONNECT option AFTER the network drivers have been
609. loaded.  This is because network drivers replace normal DOS system
610. interrupts so that VSHIELD no longer recognizes program loads.
611.      It is recommended that VSHIELD be used in non-swap mode if 
612. free memory permits.  Use of the /SWAP option will slow down the system
613. and may cause conflicts with programs that fail to allocate memory
614. properly.  If conflicts do occur, remove the /SWAP option and reboot the
615. machine.  If there is not enough memory to load VSHIELD in non-swap mode,
616. than the VSHIELD1 program should be used instead.
617.      Networks other than Micosoft LAN Manager with workstations running
618. Windows and printing to an HPLJ II printer over the network may have
619. problems with garbage being sent to the printer when VSHIELD is installed.
620. This is because other network drivers may not redirect the printer
621. correctly.  This can be fixed by editing users' WIN.INI and changing all
622. occurrences of the text "LPT1:" to "LPT1.PRN:" while leaving the
623. "LPT1.OS2:" text alone.
624.  
625.  
626. ERROR LEVELS 
627.  
628.       VSHIELD will set the following DOS ERRORLEVELS prior to going
629. resident: 
630.  
631.         VALUE ‡ DESCRIPTION
632.         ˜˜˜˜˜˜¯˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜˜
633.           0   ‡ No viruses found
634.           1   ‡ One or more viruses found
635.           2   ‡ Abnormal termination (program error)
636. VSHIELD Version 4.8B89                                 Page 13
637.  
638.  
639. VIRUS REMOVAL
640.  
641.      What do you do if a virus is found?  You can contact McAfee
642. Associates for help with removing viruses by BBS, CompuServe, FAX,
643. telephone, or InterNet.  There is no charge for support calls to
644. McAfee Associates.
645.      The CLEAN-UP universal virus disinfection program is available
646. and will disinfect the majority of reported computer viruses.  It
647. is updated with each release of the SCAN program to remove new
648. viruses.  The CLEAN-UP program can be downloaded from McAfee
649. Associates BBS, our Computer Virus Help Forum on CompuServe, the
650. SIMTEL20 archives on the Internet, or from the agents listed in
651. the AGENTS.TXT file.
652.      It is strongly recommended that you get experienced help in
653. dealing with viruses, especially critical viruses that can damage
654. or destroy data [for a listing of critical viruses, see the /M
655. option under OPTIONS, above] and partition table or boot sector
656. infecting viruses, as improper removal of these viruses could
657. result in the loss of all data and use of the disk(s).
658.      For qualified assistance in removing a virus, please contact
659. McAfee Associates directly or check the enclosed AGENTS.TXT file
660. for an Authorized McAfee Associates Agent in your area.  Agents may
661. charge McAfee Associates normal support rates for their services.
662.  
663.  
664. REGISTRATION
665.  
666.      A registration fee of $25.00US is required for the use of
667. VSHIELD by individual home users.  Registration is for one year
668. and entitles the holder to unlimited free upgrades off of McAfee
669. Associates BBS or CompuServe Computer Virus Help Forum.  When
670. registering, a diskette containing the latest version may be
671. requested.  Add $9.00US for diskette mailings.  Only one diskette
672. mailing will be made.
673.      Registration is for home users only and does not apply to
674. businesses, corporations, organizations, government agencies, or
675. schools, who must obtain a license for use.  Contact McAfee
676. Associates for more information.
677.      Outside of the United States, registration and support may be
678. obtained from the Agents listed in the accompanying AGENTS.TXT
679. file.
680. VSHIELD Version 4.8B89                                 Page 14
681.  
682.  
683. TECHNICAL SUPPORT 
684.  
685.      In order to facilitate speedy and accurate support, please 
686. have the following information ready when you contact McAfee 
687. Associates: 
688.  
689.      -    Program name and version number. 
690.  
691.      -    Type and brand of computer, hard disk, plus any 
692.       peripherals. 
693.  
694.      -    Version of DOS you are running, plus any TSRs or device
695.       drivers in use. 
696.  
697.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
698.  
699.      -    The exact problem you are having.  Please be as specific
700.       as possible.  Having a printout of the screen and/or
701.       being at your computer will help also. 
702.  
703. McAfee Associates can be contacted by CompuServe Forum, BBS, or FAX
704. twenty-four hours a day, or call our business office at (408) 988-3832
705. Monday through Friday, 7:00AM to 5:30PM Pacific Time.
706.  
707.      McAfee Associates                  (408) 988-3832 office 
708.      1900 Wyatt Drive, Suite 8          (408) 970-9727 fax
709.      Santa Clara, CA  95054-1529        (408) 988-4004 BBS 2400 bps
710.      U.S.A                              (408) 988-5138 BBS HST 9600
711.                     (408) 988-5190 BBS v32 9600
712.                     CompuServe    GO VIRUSFORUM
713.                     InterNet  mcafee@netcom.com
714. VSHIELD Version 4.8B89                                 Page 15
715.  
716.  
717. APPENDIX A:  Creating an Exception List for the /CERTIFY Option
718.  
719.  
720.      The Exception List data file should be created with an editor
721. or word processor and saved as an ASCII text file.  Be sure each
722. line ends with a CR/LF pair.
723.  
724.  
725. NOTE:  The /CERTIFY option is intended for use in environments
726. where there is significant risk of viral infection due to the use
727. of unauthorized software.  It is not intended for use in an
728. environment where new software is introduced on a continuous basis.
729.  
730.  
731. When /CERTIFY is run with the /CV option, only files that have been
732. validated by the VIRUSCAN program will be allowed to run.  When run
733. with an Exception List, only files in that list will be allowed to
734. run.  Running /CERTIFY with both the /CV option and an exception 
735. list will allow both files that have been validated with the
736. VIRUSCAN program and files on the exception list to be run.
737.  
738.  
739.      The Exception List uses the following format:
740.  
741.  
742. d:\pathnam1\filenam1.ext
743. *comment
744.      .
745.      .
746. d:\pathnam1\filenam2.ext
747. *more comments
748.  
749.  
750. Where "d:" is the name of the drive, "\pathnam1\" is the name of
751. the path, and "filename.ext" is the name of the file, including the
752. extension.  Up to 1,000 characters worth of filenames can be 
753. specified.  Comment lines are preceded with an asterisk "*" and are
754. ignored by VSHIELD.
755.  
756.      Running /CERTIFY without /CV option or an exception list will 
757. prevent all programs other than DOS internal commands from being 
758. run.
759. VSHIELD 4.8B89                                         Page 16
760.  
761.  
762. APPENDIX B:  Miscellaneous Application Notes
763.  
764. DOS 5 AND VIRUSCAN VALIDATION CODES
765.  
766.      If you have installed DOS 5.0 on your system, and had been running
767. VIRUSCAN or VSHIELD with the check validation codes /CV option, you
768. will need to reinstall validation codes to the DOS 5.0 files with the
769. add validation codes /AV option of VIRUSCAN.  The quickest way to update 
770. the validation codes is to remove all validation codes from the hard 
771. disk using the /RV option and then add them back on by running VIRUSCAN
772. with the /AV options.
773.  
774.  
775. SAMPLE NOVELL LOGIN SCRIPT AND .BAT FILE FOR VSHIELD AND CHKSHLD
776.  
777.  
778.      The following is a sample system login script for use by Novell
779. NetWare system administrators.  The login script gets the ERRORLEVEL
780. from Novell NetWare and then displays the error messages on the users'
781. screens.  The script exits the user to a .BAT file that performs a
782. logoff if there is an internal error with CHKSHLD, VSHIELD has not been
783. installed, or an older version of VSHIELD is present on PC logging in to
784. the network.
785.  
786.      (Start of sample Novell system login script)
787. #CHKSHLD /V 4.3V84
788.     IF ERROR_LEVEL = "3" THEN
789.         FIRE PHASERS 5 TIMES
790.         WRITE "A CHKSHLD internal error has occurred."
791.         WRITE "Please contact the Help Desk."
792.     EXIT "NOLOGIN"
793. ELSE
794.     IF ERROR_LEVEL = "2" THEN
795.         FIRE PHASERS 5 TIMES
796.         WRITE "VSHIELD has not been installed on your PC."
797.         WRITE "Access denied.  Please contact the Help Desk."
798.     EXIT "NOLOGIN"
799. ELSE
800.     IF ERROR_LEVEL = "1" THEN
801.         FIRE PHASERS 5 TIMES
802.         WRITE "An old version of VSHIELD has been installed."
803.         WRITE "Access to the network has been denied.  Please"
804.         WRITE "contact the Help Desk to have a new version
805.         WRITE "installed."
806.     EXIT "NOLOGIN"
807.     END
808.   END
809. END
810.     (End of sample Novell system login script)
811.  
812.     (Start of sample NOLOGIN.BAT file)
813. ECHO OFF
814. REM Log the user off of the network
815. LOGOUT
816.     (End of sample NOLOGIN.BAT file)
817.  
818. Of course, more complex login scripts can be created to send a message
819. to the supervisor if an error has occurred, update the user's VSHIELD
820. as he logs in to the network, and so forth.  However, this should give
821. you an idea of how to use the CHKSHLD program.
822.  
823.  
824.