home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4254 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  1.5 KB

  1. Path: sparky!uunet!ukma!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
  3. Newsgroups: comp.virus
  4. Subject: Is this a Virus (PC)
  5. Message-ID: <0012.9211121928.AA09892@barnabas.cert.org>
  6. Date: 10 Nov 92 22:31:05 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 33
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. To: UVS1::"rknazik@x102a.harris-atd.com"
  12. (personal mail to this address bounced)
  13.  
  14. (user reported 654360 bytes by DOS 5.0 MEM and CHKDSK)
  15.  
  16. a) See the FAQ 8*) it has an entry for this point.
  17.  
  18. b) The following process is what I use for "something" that cannot be
  19.    identified:
  20.  
  21. Well, first I assume you meant 654336 not 654360 "total bytes memory"
  22. or I'd be looking for a bad chip.
  23.  
  24. Next, I would cold boot from a clean write protected floppy with MEM
  25. or CHKDSK on it and see if you get the same thing. If not I would be
  26. concerned.
  27.  
  28. Then I would use DEBUG to look at the missing memory "D 9fc0:0 L 400"
  29. should dump the whole k. (D 9fc0:0 with 7 sucessive "D"s will do the
  30. same thing slower) If almost all zeros, it is probably a buffer. If
  31. 1/4 or more full of code, then I would be concerned, paticularly if
  32. there were "interesting" ASCII strings. If all FFs then the chip is
  33. not responding to that address range (really odd).
  34.  
  35. If really suspicious I would boot from floppy, capture the MBR, then
  36. run FDISK /MBR and see if that took care of it. If not, try capturing
  37. the DBR and run SYS. If this fixes the problem, send the captured file
  38. to a researcher.
  39.  
  40. Write if this doesn't take care of it.
  41.  
  42.                 warmly,
  43.                     Padgett
  44.