home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4989 < prev    next >
Encoding:
Internet Message Format  |  1993-01-27  |  2.2 KB
  1. Path: sparky!uunet!ukma!darwin.sura.net!newsserver.jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: ianst@qdpii.comp.qdpi.oz.au (Ian Staples)
  3. Newsgroups: comp.virus
  4. Subject: Cansu virus plague revisited (PC)
  5. Message-ID: <0013.9301271940.AA16908@barnabas.cert.org>
  6. Date: 16 Jan 93 11:37:36 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 37
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Further to my earlier post on this recent outbreak, a couple of other
  12. questions have arisen:
  13.  
  14. When using CLEAN (v.99) to remove the Cansu virus from floppies things
  15. normally work as you would expect.  BUT, every now and then a disk bobs
  16. up (only with 5 1/4" in our experience) which CLEAN thinks it can't cure.
  17.  
  18. The message is something along the lines of "Cansu virus detected in
  19. boot sector, can not be safely removed."
  20.  
  21. What gives?  Why do some (most) work okay but some don't?  Furthermore,
  22. once this message appears CLEAN then thinks it can detect the virus in the
  23. memory of the PC ("Warning: Virus active in memory.  Power down...etc.").
  24.  
  25. This seems to be the same "problem" that occurs with reading the directory
  26. of an infected disk or with using SCAN (v.99) on an infected disk - the 
  27. virus, or at least it's signature - is left in memory and the subsequent
  28. CLEAN operation aborts as a result.
  29.  
  30. Incidentally, CLEAN also has a somewhat confusing message when it is being
  31. run with the /MANY option.  If the virus is detected and removed on a floppy
  32. and the next disk is in fact okay, CLEAN will give a message that it has
  33. found one virus but that there is no virus on the new disk.  We eventually
  34. worked out that it is probably just giving a cumulative count of what it
  35. has found as you feed disks through the drive.  BUT, the first time you
  36. see the message in an atmosphere charged with suspicion, concern, and
  37. a great deal of ignorance, it is pretty bloody confusing!  I think McAfee
  38. could do a bit better than that.
  39.  
  40. Any comments from people who know out there?
  41.  
  42.  
  43. - -- 
  44. Ian Staples                       | Internet : ianst@qdpii.comp.qdpi.oz.au
  45. c/- P.O. Box 1054,                | Fax      : +61 (0)70 923 593
  46. MAREEBA  Queensland  4880         | Voice    : +61 (0)70 921 555
  47. Australia.                        | Home     : +61 (0)70 924 847
  48.