Hilfe gegen Tarnkappen-Virus: Das infame 4096-, alias Frodo-Virus, das sich resident in den Hauptspeicher lädt und dort dafür sorgt, daß es für alle gängigen Utilities unsichtbar ist (siehe CW 33 vom 17. August 1990, S. 10), hat eine Achillesferse - eben seine Unsichtbarkeit. Beim Kopieren eines infizierten Programms ist unter bestimmten Umständen die Kopie virusfrei. Voraussetzung: Das Virus ist resident im Hauptspeicher und die Namens-Extension der Zieldatei ist nicht die einer ausführbaren Datei (COM, EXE, OVL oder SYS.) Dann nämlich filtert das residente Virus, um sich wie gewohnt zu verstecken, seinen Code aus dem Bytestrom heraus.

In der Zieldatei kommt damit nur der ursprüngliche Programmcode an. Am besten verwendet man für diese Prozedur ein Komprimierprogramm wie PKARC. Inwieweit es mit den DOS-Programmen COPY und XCOPY funktioniert, ist noch umstritten.

Anschließend müssen die infizierten Programme gelöscht, das System von einer definitiv "sauberen" Diskette gebootet und die Kopien wieder dekomprimiert (beziehungsweise mit den richtigen Extensions versehen) werden.

Virus-Experten jedoch warnen vor dieser "Therapie". Weil sie nicht so einfach ist, wie sie klingt, sollten sich nur Leute an ihr versuchen, die mit ihrem PC auf Bit-Level vertraut sind. Die sicherste Lösung seien professionelle Antivirusprogramme, deren neuere Versionen diesen "Erreger" bereits erkennen, wie die Virenscanner von Solomon (Findviru), McAfec (Scan) oder Skulason (F-Fehler). Das Programm Turbo Anti Virus von EPG International kann ihn angeblich auch gleich entfernen. Noch zwei Hinweise:

1. Signaturprogramme und Virenscanner sollten nur von einer garantiert sauberen Diskette gestartet werden und nur dann, wenn der PC zuvor von einer ebenso sauberen Diskette gebootet wurde.

2. Wird das Virus aktiv, gibt es aufgrund eines Programmfehlers die Meldung "Frodo Lives" nicht aus. Statt dessen hängt sich der Rechner auf.