病毒清除一例

Author: 周丹 Date: 1994-08-26

        1.检查:A:\DEBUG<CR>
        -D 0:20 L4  8C 01 94 9F (中断8H)
        -D 0:84 L4  67 03 94 9F (中断21)
        如下划线处为以上所示,那么内存里就有该病毒。此时你的系统已被控制,随时可能感染新的文件。应马上用干净的DOS起动,用拷贝方法覆盖感染的COMMAND.COM。另外,还可以将系统日期改为9.9或12.26。运行DEBUG:
        A:\DEBUG <CR>
        -E 9F94:606 00 00 (下划处的段址为8H或21H中断的段址)
        可听到喇叭放出歌曲。被感染的文件中有字串“L4QUDGDIIB”可简缩为“DIIB”。我们可用PCTOOLS的FIND功能查找。
        2.消毒:由于现在的所有软件都不能查出杀除,加之病毒有较多的变码操作,要摘除病毒体、修改文件头比较复杂。现本人采取利用其本身的变码操作,使之失去传染、发作的能力。具体的作法是:用PCTOOLS的FIND功能在代毒文件中查找16进制代码“5E071F74081E060E”改为“5E071FEB081E060E”即可。(周丹)