home *** CD-ROM | disk | FTP | other *** search
/ ProfitPress Mega CDROM2 …eeware (MSDOS)(1992)(Eng) / ProfitPress-MegaCDROM2.B6I / UTILITY / VIRUS / PCV4RPT.ZIP / JOSHI.RPT < prev    next >
Encoding:
Text File  |  1991-05-09  |  4.6 KB  |  136 lines
  1.  
  2.              *********************************************
  3.              ***   Reports collected and collated by   ***
  4.              ***            PC-Virus Index             ***
  5.              ***      with full acknowledgements       ***
  6.              ***            to the authors             ***
  7.              *********************************************
  8.  
  9.  
  10.   Date:    Thu, 18 Oct 90 19:17:54 -0400
  11.   From:    MMCCUNE@sctnve.bitnet
  12.   Subject: Removing Joshi virus (PC)
  13.  
  14.   I would like to thank the members of the Virus-L, Fidonet and
  15.   Interlink virus conferences for there feedback on this program.
  16.   Earlier, I posted a remover for the Joshi Virus that didn't check
  17.   for the virus before trying to remove it.  I have now added several
  18.   checks to the new version of the program....
  19.  
  20.  mov ah,0h
  21.  mov dx,80h
  22.  int 13h          ;Reset hard disk
  23.  mov cx,1h
  24.  mov bx,200h
  25.  mov ax,201h
  26.  int 13h          ;Load sector 1 of partition table into memory
  27.  or ah,ah         ;Check for a read error
  28.  jnz read_error
  29.  es:
  30.  cmp w[bx],1feb   ;See if partition table is infected
  31.  jnz no_virus
  32.  mov cx,000ah
  33.  mov ax,301h
  34.  int 13h          ;Save copy of partition record
  35.  or ah,ah         ;See if there was a write error
  36.  jnz write_error
  37.  mov cx,9h
  38.  mov ax,201h
  39.  int 13h          ;Load sector 9 of partition table into memory
  40.  or ah,ah         ;Check for a read error
  41.  jnz read_error
  42.  cmp w[bx+1fe],0aa55h   ;Checks for a valid partition record
  43.  jnz no_remove
  44.  mov cx,1h
  45.  mov ax,301h
  46.  int 13h          ;Write sector 9 over sector 1 (in partition table)
  47.  or ah,ah         ;Check for a write error
  48.  jnz write_error
  49.  mov ah,9h
  50.  lea dx,remove_message
  51.  int 21h
  52.  int 20h
  53.  no_virus:
  54.  mov ah,9h
  55.  lea dx,virus_message
  56.  int 21h
  57.  int 20h
  58.  no_remove:
  59.  mov ah,9h
  60.  lea dx,no_remove_message
  61.  int 21h
  62.  int 20h
  63.  read_error:
  64.  mov ah,9h
  65.  lea dx,read_message
  66.  int 21h
  67.  int 20h
  68.  write_error:
  69.  mov ah,9h
  70.  lea dx,write_message
  71.  int 21h
  72.  int 20h
  73.  remove_message:
  74.  db 'Joshi Removed$'
  75.  virus_message:
  76.  db 'Joshi not found$'
  77.  no_remove_message:
  78.  db 'Joshi can not be removed!$'
  79.  read_message:
  80.  db 'Read Error$'
  81.  write_message:
  82.  db 'Write Error$'
  83.  
  84.   This program will remove the Joshi virus from the hard disk.
  85.   McAfee's SCANV64 or above will detect it.  The virus can also be
  86.   detected by looking at the partition table with a HEX editor such as
  87.   Norton Utilities.  First, cold boot (turn the machine off) off a
  88.   clean, write protected diskette.  Then look at the partition record
  89.   (Track 0, Head 0, Sector 1).  If the first two bytes are Hex EB 1F,
  90.   the hard disk is infected.
  91.  
  92.   The virus also does some other things to make itself detectable.
  93.   When the date is set to 1-05-(any year), a green screen with the
  94.   words "TYPE HAPPY BIRTHDAY JOSHI" appear on the screen.  The machine
  95.   will halt until the message is typed.
  96.  
  97.   Also, CHKDSK will show 6k less memory than is available on an
  98.   unifected system .
  99.  
  100.   Probably the most annoying bug in the virus is that it won't allow
  101.   you to format a diskette while it is active in memory; the system
  102.   will give a "bad track 0" error.
  103.  
  104.   To use, first boot off an unifected diskette (this is very
  105.   important).  Then type RMJOSHI.  This will remove the virus from the
  106.   hard disk. It will leave traces of the virus in the partition table
  107.   but the virus will be disabled and the system will be returned to
  108.   normal.
  109.  
  110.   RMJOSHI will give four messages:
  111.  
  112.   Joshi Removed   - The virus was found and removed from the partition
  113.   table of the hard disk.  Joshi not found - Either the virus is
  114.   active in memory or the hard disk is not infected.  Joshi can not -
  115.   Either the partition record is corrupted or you have a new be
  116.   removed variation of the virus.
  117.  
  118.   Read Error      - The program aborted because there was an error
  119.                     reading the hard disk.
  120.  
  121.   Write Error     - The program aborted because there was an error
  122.                     writing to the hard disk.
  123.  
  124.   When dealing with viruses, there is always a danger of losing
  125.   programs or data.  Thus, I offer no warranty on these programs. They
  126.   may be freely distributed as long as they are not altered in any
  127.   way.  I can be reached on the FIDONET virus echo, the INTERLINK
  128.   virus echo and VIRUS-L digest.  I can also be reached on BITNET as
  129.   MMCCUNE@SCT.NVE. It is free to use by all private individuals
  130.   (Institutions please contact me first).
  131.  
  132.   Mike McCune.
  133.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  134.   ++++++++++++++++++++++++++ end of reports ++++++++++++++++++++++++
  135.   ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  136.