新世纪病毒的发现与清除
1、如果在文件中发现“YaQi”等关键字,文件中就一定有新世纪病毒。
2、病毒的头两条指令是:
E8 FD 00 CALL 病毒偏移+100H
E8 FA 01 CALL 病毒偏移+200H
3、在硬盘分区表中有:“New Cerntry of computer Now!”。
4、ah赋54H,bx赋9064H,调用DOS功能,返回ax为9064H,则内存有病毒。
二、如何清除新世纪病毒
1、清除硬盘分区表内病毒,只需调物理第二扇区内容覆盖第一扇区即可。
2、清除COM文件中的病毒时,如程序前为E9H的,取后一个字加3即得原程序长度。此字+89H所得偏移处的五个字节为原程序头五个字节。
3、EXE程序中病毒的清除。病毒程序偏移6CH为原程序长度低字节,6EH为原程序长度高字节;病毒程序后偏移64H是CS值,偏移66H为IP值,偏移68H放SSW值,偏移64H放SP值。
根据以上说明,用户即可删除此病毒。