home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / NETSCN91.ZIP / NETSCN91.DOC < prev    next >
Encoding:
Text File  |  1992-05-27  |  13.3 KB  |  347 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.                              NETSCAN Version 91
  26.         Copyright (C) 1989-1992 by McAfee Associates.
  27.                              All Rights Reserved.
  28.  
  29.                Documentation by Aryeh Goretsky.
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.      McAfee Associates             (408) 988-3832 office
  50.      3350 Scott Blvd. Bldg 14      (408) 970-9727 fax
  51.      Santa Clara, CA  95054-3107   (408) 988-4004 BBS (32 lines)
  52.      U.S.A.                        USR HST v.32/v.42bis/MNP 1-5
  53.                                    CompuServe    GO VIRUSFORUM
  54.                                    InterNet  mcafee@netcom.com
  55.  
  56.  
  57. SYNOPSIS
  58.  
  59.      NETSCAN is a virus detection and identification program for
  60. local and wide area networks.  NETSCAN will search any networked
  61. drive accessible as a DOS device, searching the networked drives
  62. for known viruses.
  63.      NETSCAN works by searching the system for instruction sequences
  64. or patterns that are unique to each computer virus, and then reporting
  65. their presence if found. 
  66.      NETSCAN Version 91, when used in conjunction with the VIRUSCAN
  67. program on workstations, can identify all known computer virus strains
  68. and their varieties.
  69.      For a complete listing of viruses detected, please read the
  70. accompanying VIRLIST.TXT file.
  71.      NETSCAN can be run off of any workstation with 360Kb and DOS 2.0
  72. or above (Some options may require DOS 3.1 or above).  In order for
  73. NETSCAN to check all areas of the server for computer viruses,
  74. NETSCAN should be run under an account with global read, write, and
  75. create privileges.  NETSCAN works with 3Com 3/Share and 3/Open, Artisoft
  76. Lantastic, Novell NetWare, Banyan VINES, DEC DECNet, Microsoft LAN
  77. Manager, PC/SA, and NFSNet as well as IBMNET and NETBIOS compatible
  78. networks.  If you do not see your network listed, contact McAfee
  79. Associates.
  80.  
  81.  
  82. AUTHENTICITY
  83.  
  84.      NETSCAN runs a self-test when executed.  If NETSCAN has been
  85. modified in any way, a warning will be displayed.  The program will
  86. still continue to check for viruses, though.  If NETSCAN reports that
  87. it has been damaged, it is recommended that a clean copy be
  88. obtained.
  89.      NETSCAN versions 51 and above are packaged with the VALIDATE
  90. program to ensure the integrity of the NETSCAN.EXE file.  The
  91. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
  92. The VALIDATE program distributed with NETSCAN may be used to check
  93. all further versions of NETSCAN.
  94.  
  95.      The validation results for Version 91 should be:
  96.  
  97.           FILE NAME: NETSCAN.EXE
  98.                    SIZE: 75,050
  99.                    DATE: 5-27-1992
  100.     FILE AUTHENTICATION
  101.          Check Method 1: 33DA
  102.          Check Method 2: 1AD1
  103.  
  104. If your copy of NETSCAN.EXE differs, it may have been modified.
  105. Always obtain your copy of NETSCAN from a known source.  The
  106. latest version of NETSCAN and validation data for NETSCAN.EXE can
  107. be obtained off of McAfee Associates' bulletin board system at
  108. (408) 988-4004.
  109.  
  110.      Beginning with Version 72, all McAfee Associates programs for
  111. download are archived with PKWare's PKZIP Authentic File
  112. Verification.  If you do not see the "-AV" message after every file
  113. is unzipped and receive the message "Authentic Files Verified!
  114. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  115. then do not run them.  If your version of PKUNZIP does not have
  116. verification ability, then this message may not be displayed.
  117. Please contact McAfee Associates if your .ZIP file has been
  118. tampered with.
  119.  
  120.  
  121.  
  122.  
  123. COMMANDS
  124.  
  125. IMPORTANT NOTE:  NETSCAN SHOULD ALWAYS BE RUN FROM A WRITE-PROTECTED FLOPPY
  126. DISK TO PREVENT NETSCAN FROM BECOMING INFECTED.
  127.  
  128.      To run NETSCAN type:
  129.  
  130. NETSCAN d1: ... d26: /A /AF filename /BELL /CF filename /CHKHI
  131.                      /D /E .xxx .yyy .zzz /EXT filename /FR /H
  132.                      /HELP /HISTORY filename /M /NLZ /NOBREAK
  133.                      /NOEXPIRE /NOMEM /NOPAUSE /NPKL
  134.                      /RF filename /REPORT filename /SP /SUB /
  135.                      UNATTEND /?  @filename
  136.  
  137. Options are:
  138.  
  139.         /A - Scan all files for viruses
  140.       /AF filename - Store recovery data/validation codes to file
  141.          /BELL - Beep whenever a virus is found
  142.         /CHKHI - Scan workstation memory from 0 to 1088Kb
  143.         /D - Overwrite and delete infected files
  144.  /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
  145.      /EXT filename - Scan using external virus data file
  146.            /FR - Display messages in French
  147.        /H or /HELP - Display help screen
  148.  /HISTORY filename -Create or append to existing infection report
  149.         /M - Scan memory for all viruses
  150.              (see below for specifics)
  151.           /NLZ - Skip internal scan of LZEXE compressed files
  152.       /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
  153.          /NOEXPIRE - Do not display expiration notice
  154.         /NOMEM - Skip memory checking
  155.       /NOPAUSE - Disable screen pause when scanning
  156.          /NPKL - Skip internal scan of PKLITE compressed files
  157.   /REPORT filename - Create report of infected files
  158.       /RF filename - Remove recovery data/validation codes
  159.                      stored in filename
  160.            /SP - Display messages in Spanish
  161.           /SUB - Scan subdirectorires
  162.      /UNATTEND - Scan network using error handler
  163.                 /? - Display help screen
  164.          @filename - Scan using options from configuration file
  165.  
  166.       (d1: ... d26: indicate network drives to be scanned)
  167.  
  168.      The /A option will cause NETSCAN to go through all files on the
  169. referenced drive.  This should be used if a file-infecting virus has already
  170. been detected.  Otherwise the /A option should only be used when checking a
  171. new program.  The /A option will add a substantial time to scanning.  This
  172. option takes priority over the /E option.
  173.  
  174.      The /AF option logs recovery data and validation codes
  175. for .COM and .EXE files to a user-specified file that can be
  176. located on any drive.  The size of the file is about 20K per
  177. 1,000 files validated.  The syntax is /AF filename, where
  178. "filename" is the patch and file where recovery data and
  179. validation codes are stored.
  180.  
  181.  
  182.      The /BELL option will cause NETSCAN to beep each time a computer
  183. virus is found.
  184.  
  185.      The /CHKHI option checks memory on the workstation NETSCAN is being
  186. run on above 640Kb that can be used on AT (286) and 386 systems for
  187. computer viruses on the workstation it is being run from.  This includes
  188. the 384Kb Upper Memory Area from 640Kb to 1024Kb, and the 64Kb High
  189. Memory Area from 1024Kb to 1088Kb.  On XT systems with extended memory
  190. cards installed, this will cause the first 64K of RAM to be scanned
  191. again.  This option can not be used with the /NOMEM option.
  192.  
  193.      The /D option tells NETSCAN to prompt the user to overwrite
  194. and delete an infected file when one is found.  If the user selects
  195. "Y" the infected file will be overwritten with hex code C3 [the
  196. Return-to-DOS instruction] and then deleted.  A file erased by the
  197. /D option can not be recovered.  If the McAfee Associates' CLEAN-
  198. UP program is available, it is recommended that CLEAN be used to
  199. remove the virus instead of NETSCAN, since in most cases it will
  200. recover the infected file.  Boot sector and partition table
  201. infectors can not be removed by the /D option and require the
  202. CLEAN-UP virus disinfection program.
  203.  
  204.      The /E option allows the user to specify an extension or set
  205. of extensions to scan.  Extensions should include the period
  206. character "." and be separated by a space after the /E and between
  207. each other.  Up to three extensions may be added with the /E.  For
  208. more extensions, use the /A option.
  209.  
  210.      The /EXT option allows NETSCAN to serach for viruses from a
  211. text file conatning user-defined search strings in addition to the
  212. viruses that NETSCAN already checks for.  For instructions on how
  213. to create and use an external virus data file, please refer to the
  214. VIRUSCAN documentation.
  215.  
  216.      The /FAST option will speed NETSCAN up by displaying less
  217. inforation on the screen during scanning, skipping scanning inside
  218. of LZEXE- and PKLITE-compressed files, and examining a smaller portion
  219. of files during scanning.  This may cause some viruses to be missed.
  220.  
  221.      The /FR option tells NETSCAN to output all messages in French
  222. instead of English.
  223.  
  224.      The /HISTORY option save a list of infected files to
  225. disk.  The list is saved to disk as an ASCII text file.  If a
  226. list exists, then the results of the current scan will be added
  227. to its end.  The syntax is /HISTORY filename, where "filename"
  228. is the path and name of the report file.
  229.  
  230.      The /M option tells NETSCAN to check system memory of the
  231. workstation it is running off of for all known computer viruses that
  232. can inhabit memory.  NETSCAN by default only checks memory for
  233. critical and "stealth" viruses, which are viruses which can cause
  234. catastrophic damage or spread the infection during the scanning
  235. process.  For a list of viruses, please refer to the VIRUSCAN
  236. documentation.  If a critcial virus is found in memory, NETSCAN
  237. will stop and warn the user to power down, and reboot the system from a
  238. virus-free system disk.  Using the /M option with another
  239. anti-viral software package may result in false alarms if the other
  240. package does not remove its virus search strings from memory.  The
  241. /M option will add 3 to 15 seconds to the scanning time.
  242.  
  243.      The /NLZ option tells NETSCAN not to look inside files
  244. compressed with the LZEXE file compression program.  NETSCAN will
  245. still check the programs for external infections.
  246.  
  247.      The /NOBREAK option disables Control-C or Control-Break from
  248. stopping NETSCAN while running.  The /NOBREAK option only works if
  249. BREAK=OFF has been added to the CONFIG.SYS file.
  250.  
  251.      The /NOMEM option is used to turn off all memory checking for
  252. viruses.  It should only be used when a system is known to be free
  253. of viruses.
  254.  
  255.      The /NOPAUSE option disables the "More..." prompt that appears
  256. when NETSCAN fills up a screen with data.  This allows NETSCAN to run
  257. on a machine with multiple infections without requiring operator
  258. intervention when the screen fills up with messages from the NETSCAN
  259. program.
  260.  
  261.      The /NPKL option tells NETSCAN not to look inside files
  262. compressed with the PKLITE file compression program.  NETSCAN will
  263. still check the programs for external infections.
  264.  
  265.      The /REPORT option is used to generate a listing of infected
  266. files.  The resulting list is saved to disk as an ASCII text file.
  267. To use the report option, specify /REPORT on the command line,
  268. followed by the device and filename.
  269.  
  270.      The /RF option removes recovery data and validation codes for
  271. for files from the recovery data and validation code file.  The
  272. syntax is /RF filename, where "filename" is the path and file
  273. where the recovery data and validation codes are stored.
  274.  
  275.      The /SP option tells NETSCAN to output all messages in Spanish
  276. instead of English.
  277.  
  278.      The /SUB option allows NETSCAN to scan all subdirectories under
  279. a subdirectory (a subdirectory tree).  Previously, NETSCAN would only
  280. recyursively check subdirectories if a logical device (e.g., F:)
  281. was scanned.
  282.  
  283.      The /UNATTEND option allows NETSCAN to continue scanning when a
  284. non-shareable open file is scanned. 
  285.  
  286. NOTE:  The /UNATTEND options requires DOS 3.1 and above.  If your PC
  287. is running an older version, then the /UNATTEND option will not
  288. work.
  289.  
  290.      The @filename option allows the system administrator to store a
  291. list of preferred options and/or areas of the system to be scanned in a
  292. configuration file and then have NETSCAN read the options in and execute
  293. them.  Options need to be separated by spaces on the first line of the
  294. file, while systems areas (a disk, subdirectory, or files) need to be
  295. listed on a separate line for each entry.  A sample file might look
  296. like this:
  297.  
  298. /A /BELL /CERTIFY /REPORT C:\NETSCAN\SCAN.LOG
  299. F:
  300. G:\PUBLIC
  301.  
  302. The configuration file should be an ASCII text file.  If a word
  303. processor is used to create the file, be sure to save the file as
  304. ASCII.
  305.  
  306. OPERATION
  307.  
  308.      NETSCAN should be run while only the supervisor account is active
  309. on the network.
  310.     NETSCAN will require approximately 3 minutes of run time for each
  311. 1,000 files on the designated drive.
  312.  
  313.  
  314. EXIT CODES
  315.  
  316.      NETSCAN will set the DOS ERRORLEVEL upon program termination
  317. to:
  318.  
  319.      ERRORLEVEL │ DESCRIPTION
  320.      ───────────┼────────────────────────────────────────
  321.      0      │ No viruses found
  322.      1      │ One or more viruses found
  323.      2      │ Abnormal termination (program error)
  324.  
  325. If a user stops the scanning process, NETSCAN will set the ERRORLEVEL
  326. to 0 or 1 depending on whether or not a virus was discovered prior
  327. to termination of the scan.
  328.  
  329.  
  330. LICENSE
  331.  
  332.     NETSCAN may be copied and distributed for testing on a trial basis.
  333. If you choose to use NETSCAN, a license is required.  Licenses are available
  334. for internal use within a business, organization, government agency, or
  335. for external use by repair centers or other service organizations.  License
  336. fees will vary depending on the size of the network or number of copies of
  337. NETSCAN required.  Information on licensing can be obtained from McAfee
  338. Associates or any of the Authorized Agents listed in the accompanying
  339. AGENTS.TXT.
  340.  
  341.      McAfee Associates               (408) 988-3832 office
  342.      3350 Scott Blvd. Bldg. 14       (408) 970-9727 fax
  343.      Santa Clara, CA  95054-3107     (408) 988-4004 BBS (32 lines)
  344.      U.S.A.                          USR HST v.32/v.42 bis/MNP 1-5
  345.                      CompuServe    GO VIRUSFORUM
  346.                      Internet  mcafee@netcom.com
  347.