home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / virus / 3800 < prev    next >
Encoding:
Internet Message Format  |  1992-09-11  |  3.5 KB
  1. Path: sparky!uunet!olivea!spool.mu.edu!caen!uakari.primate.wisc.edu!ames!pacbell.com!iggy.GW.Vitalink.COM!cs.widener.edu!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: mcampbel@nyx.cs.du.edu (Matthew Campbell 'The Fire Fox')
  3. Newsgroups: comp.virus
  4. Subject: Now I know I have something. (PC)
  5. Message-ID: <0015.9209111901.AA28207@barnabas.cert.org>
  6. Date: 11 Sep 92 07:24:17 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 77
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. VIRSTOP was installed as a device driver in Config.Sys right after
  12. Himem.Sys
  13.  
  14. Later I tried installing VIRSTOP from the command line and it said:
  15.  
  16. >VIRSTOP cannot be installed
  17. >This may be caused by an active virus or an incompatible DOS
  18. >
  19. >C:\VIRUS> f-prot.exe
  20. >Program infected with the [= ] Virus.
  21. >File access terminated. (A couple weird characters)(Control-Z) and a
  22. >                        halted system.
  23.  
  24. I had just unzipped fp-205.zip from a clean, write-protected floppy
  25. disk; however, I didn't happen to boot with one.  Has this ever
  26. happened to anyone else before?  After killing the power for about a
  27. minute, I rebooted with a clean, write-protected floppy disk and
  28. scaned the drive with a different disk on which the scanner files were
  29. already expanded, (Not Zipped).  I also scanned the other disks that
  30. came in contact, but no viruses were detected.  I got my F-PROT from
  31. wuarchive.  Is F-PROT supposed to have -AV with the files when
  32. unzipped?  Mine doesn't.
  33.  
  34. SCANNING RESULTS:
  35.  
  36. Scanner used: F-PROT v205
  37. Infected:     0
  38. Suspicious:   12  (Mostly .ini and .cnf files)
  39. Disinfected:  0
  40. Scanning:     Hard Disks
  41. Method:       Heuristics
  42. Scanning:     All files
  43. Message:      This is either a corrupted program or one which contains
  44.               instructions wich do not exist on all 80x86 processors.
  45.               It will crash on some machines.
  46.  
  47.    -- text files were noted as suspicious such as NEW.205, SCAN.DOC,
  48.       LANGUAGE.DOC, CONFIG.SYS, AUTOEXEC.BAT, and all scan.crc files.
  49.    (scan.crc files are files made with McAfee's scanv95b.zip scanner.)
  50.    (/af scan.crc)
  51.  
  52. Scanner used: SCAN 8.7B95 McAfee
  53. Options:      C: /a /m /chkhi
  54. Infected:     0
  55. Suspicious:   0
  56.  
  57. A disk editor revealed extra garbage added to the ends of the
  58. suspicious files as named by F-PROT v205.  The extra stuff held two
  59. sectors or less.  The file names EMM386.EXE and SMARTDRV.EXE were
  60. added to the end of LANGUAGE.DOC which were two files that the
  61. computer uses in the boot up.  You should see the end of the
  62. Config.Sys.... What a mess.  Some hex codes include:
  63.  
  64. 89 97 88 89 99 A8 89 FF CF 89 9D E8 89 9F 08 8A
  65. A1 28 8A A3 48 8A A5 68 8A A7 88 8A A9 A8 8A AB
  66. C8 8A AD E8 8A AF 08 8B B1 28 8B B3 48 8B B5 68
  67. 8B B7 88 8B B9 A8 8B BB C8 8B BD E8 8B BF 08 8C
  68. C1 28 8C C3 48 8C C5 68 8C C7 88 8C C9 A8 8C CB
  69. C8 8C CD E8 8C FF FF FF D1 28 8D D3 48 8D D5 68
  70. 8D D7 88 8D D9 A8 8D DB C8 8D DD E8 8D DF 08 8E
  71. E1 28 8E E3 48 8E E5 68 8E E7 88 8E E9 F8 FF EB
  72. F8 FF ED E8 8E EF 08 8F F1 28 8F F3 48 8F F5 68
  73. 8F F7 88 8F F9 A8 8F FB C8 8F FD E8 8F FF 08 90
  74. 01 29 90 03 49 90 05 69 90 FF 0F
  75.  
  76. For the next two sectors it had something that looked like a data file
  77. containing names of viruses like: Violator, Stoned, Vienna, Hydra, and
  78. had names of the current scanners, characteristics of viruses, the
  79. months of the year, and some names of some countries.
  80.  
  81. What should I do?
  82.  
  83. - --
  84. Matthew Campbell     'The Fire Fox'
  85. Internet:  MatthewCal@Ids.Net     MCampbel@Nyx.Cs.Du.Edu
  86.            Ugcsmc0084%Mtvms2.Dnet@Terra.Oscs.Montana.Edu
  87. A thought to remember: "The only way to God is through his son Jesus Christ."
  88.