精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆关于CIH☆>>CIH修复方法

主题:CIH修复方法
发信人: lcbin()
整理人: emil(1999-05-15 13:50:36), 站内信件
CIH修复方法
本站只是进行介绍,未做实验,对由此引起的任何问题本站不负任何责任。
kill98 修复法 
 
        在这CIH瘟疫中,许多家国家机关,企业单位、银行系统,感染的机器初
步估计数万台,有用户反映的情况看来,这些CIH的全面发作主要限于 1.2 版,被
破坏的大部分为硬盘数据,也有不少用户的主板在劫难逃。具体的表现形式包括
:硬盘不能正常启动,所有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的
BIOS被病毒改写);软盘不能正常启动计算机。
        对于已经被CIH破坏的硬盘,可以作以下处理:
        1、第一个逻辑盘,通常是C:盘,通常是不可完全恢复,但是如果使用KIL
L 98制作过应急盘,可以用KILL 98 急救盘中保存的主引导区记录、分区表记录
恢复硬盘,找回大部分文件。
        2、其它逻辑盘,只要不是FAT32,可以用NDD之类的磁盘工具或用KILL 9
8 急救盘恢复,但需要使用者对硬盘的物理结构有足够的了解。
        3、FAT32分区的逻辑盘,需要对FAT32结构具有深入了解的专业人员用DE
BUG等工具手工进行恢复。
 
主板修复
 
         对于被CIH破坏的主板,可以作以下处理:
         1、如果是能够提供良好服务的厂家的品牌主板,请与厂家联系。
         2、找一个相同型号的主板(要求BIOS的厂家和版本必须严格相同),
下载主板厂家提供的升级文件,取出坏BIOS,用新的BIOS片启动您的电脑,并在
带电的情况下换回坏的BIOS片,从A盘写入。(此办法由于带电操作,有很大危险
,用户操作有可能操作后造成硬件整体被破坏,请用户慎重!!!)
         3、有的主版升级程序在写入时会检测BIOS版本号,如无则无法改写,
此种无法写入BIOS情况则必须更换计算机的BIOS芯片,可以与您的硬件购买商,或
主板在中国的代理商联系。 
瑞星升级程序
 

升级程序标准版 版 本 大小 下载CIH升级程序 
9.0(10)
 601KB 直接下载uprav.exe 可修复被CIH破坏的D/E等分区! 
 

KV300(F10)功能
重建分区表
 
         4月26日,CIH病毒v1.2发作.具体的表现形式包括:硬盘不能正常启动,所
有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的BIOS被病毒改
写);软盘不能正常启动计算机.

        (1)对于第一种情况,可以采用KV300的F10功能键重建您的硬盘分区表.具
体的操作步骤:
       a)用干净的系统软盘引导计算机,等KV300的主画面出现后,按F10功能键,
KV300会自动检测您的硬盘参数及分区情况,并对非正常的硬盘分区表进行重建;当
然,在重建之前,会提示您备份一份原已经损坏的分区表.
       b)为了安全起见,必须备份原分区表;在操作的过程中,按提示,会敲击两次
"y"键;
       

 Kill_CIH杀灭内存中的CIH病毒

KILL_CIH是Symantec研制的检测CIH病毒软件,大小为24KB,属于自由软件,
完全免费使用,运行环境为Win95/98。
  该程序可以十分简洁迅速地“关闭”受CIH病毒侵袭的计算机内存中所有的C
IH
病毒感染进程。KILL_CIH并不会从文件中检测或清除W95CIH病毒,它只会使内

中的病毒失效,令一个反病毒程序清除病毒的感染而不会将病毒扩散,即可以使
用户
在杀毒前不必先用干净的系统盘重新启动计算机。
  KILL_CIH这个工具本身已设计成可以避免病毒感染并安全地运行,即使病毒已

驻留在电脑中。运行KILL_CIHEXE程序不需要命令行参数,它会在完成时根据不

的检查结果而显示不同的信息,如最常见的信息就是“The W95CIH virus was
 not
found in memory”(在内存中没有找到W95.CIH病毒)。
  如果你的机器已经感染了CIH病毒,并且准备更新你的反病毒库或扫描系统之
前,
请首先运行工具KILL_CIH。这样,你就可以放心地升级你的病毒库文件并扫描你
的机
器。http://www.Symantec.com下载。      
 


  

《 CIH病毒发作之后 》

  拯救硬盘数据

  由于CIH病毒必须在进入Windows 9x系统后才能发作,它乱写硬盘的操作可能

快导致系统死机,用户在察觉系统导常时也会迅速关机,所以多数情况下只有硬
盘最
前面的也是最重要的一部分数据被覆盖了,而其它数据并未遭到破坏,这就为恢
复硬
盘上部分数据提供了可能。一般来说,原来的C盘基本上无法恢复,而D、E、F等

基本上能恢复。
  方法一:由于许多用户没有备份主引导扇区的习惯(尽管KV300、NDD等工具
软件
有此功能),故只能设法找到与你的硬盘完全相同(型号、分区情况等)的另一
个硬盘。
然后使用KV300的“KV300/B”命令(主引导扇区备份),将这个硬盘的主引导扇
区备
份出来。用DOS启动盘引导你的系统,再用KV300的“KV300/K”命令(主引导扇区

复),将前面备份的主引导扇区恢复至你的硬盘。恢复后可以试着向硬盘传送系
统文件,
如果传送成功,且硬盘能够引导,说明故障排除。
  使用以上方法的关键是找到完全相同的另一个硬盘,否则就不能使用。若你
的硬
盘中有重要的数据,你还可以造一个主引导扇区。即借一个和你的硬盘一样的新
硬盘,
按相同原则分区。用KV300将引导扇区备份出来,再恢复到损坏的硬盘中。
  方法二:如果不具备以上条件,对于经验较少的朋友来说,恢复D、E、F等盘

另一种方法是使用KV300的F10功能来重建硬盘分区表,该功能能够自动查找硬盘

扩展分区表,并把它链回到主引导扇区中,从而恢复D、E、F等分区,不过,该方

在某些时候可能无效,恢复出来的分区并不一定正确。
  方法三:把硬盘取下来作为从盘挂到其它机器中,运行最新版的Norton Dis
k Doctor
或其它硬盘修复工具,也能查找到丢失的扩展分区。
  方法四:采用重写主引导扇区的方法,此法可能会丢失硬盘中的数据,只能
在万
不得已时使用。方法是:用DOS启动盘引导你的系统,加参数“/MBR”运行FDISK
(即
运行“FDISK /MBR”),此时FDISK会重写主引导扇区(由于/MBR是个比较危险的
参数,
微软未将其公开)。应注意不要在多于四个分区的硬盘上使用,也不要在安装了
System
Commander等多操作系统管理软件的硬盘上使用。
  方法五:对于经验丰富的朋友来说,如果前面的方法不奏效,还可以使用No
rton
Utilities 8.0的DiskEdit磁盘编辑工具来手工查找和修复分区表,具体步骤如下

  1. 从软盘启动机器,运行FDISK /MBR命令重建一个空的分区表。
  2. 运行拷贝到软盘上的DiskEdit,选择第一物理硬盘,显示硬盘上的所有扇
区。
  3. 利用DiskEdit的“Find Object”功能搜索可能是分区表的扇区,人工判
断搜
索结果是否正确。
  4. 记下搜索到的第一个扩展分区表的扇区所在位置,返回到硬盘的第一个扇

中,把显示方式切换至分区表形式,在第一个分区表项中填入原来C盘所在分区的

型、起始位置、终止位置、起始相对扇区和分区大小,在第二个分区表项中填入
扩展
分区的类型、起始位置、终止位置、起始相对扇区和分区大小,这些参数需要根
据分
区表的格式和含义由人工计算出来。
  5. 修改好后存盘退出,重新启动机器,如果仍然不能访问原来的D、E、F等
分区,
则可能是因为计算有误,或者搜索结果不正确,如果是后一种情况则继续上面3~
5步
的操作。
  注意:PNU8是一个16位工具软件,不支持FAT32文件系统。如果你对NU确实感

兴趣,可使用NU3.0 for Windows95(98)及以上版本。
  尽管CIH病毒发作之后C盘基本上无法恢复,但是我们仍有微弱的希望能够挽

回C盘上的部分文件,方法是使用Tiramisu数据恢复软件(可到
http://www.paulgao.com.cn去下载),让它查找原C盘中丢失的目录结构,找到
之后
可以选择拷贝目录中的文件到其它分区或硬盘中。Tiramisu能否成功恢复文件的
前提
条件是该文件原来是连续存放在硬盘之中,否则恢复结果不正确,那些在C盘上保

有重要数据的朋友可以试试该方法。

  修复BIOS芯片

  CIH病毒只能破坏少数几种主板的BIOS。BIOS芯片中的程序被破坏后,由于不

启动系统,也就无法直接用BIOS升级工具软件来重写BIOS,此时可以用下面的几

方法来修复BIOS芯片。
  方法一:找主板经销商,请他们更换或帮忙重写一块BIOS芯片。
  方法二:多数大城市的电脑城或电子城里都有一些商家拥有专门的Flash EE
PROM
擦写器,可以到这些地方去重写BIOS芯片。
  方法三:多数采用Award BIOS的BIOS芯片中都含有一个特殊的Boot Block,

个区域在5V电压下是无法改写的,它支持ISA显卡和从软驱启动。因此我们可以找

块ISA显卡暂时替换掉PCI或AGP显卡,在其它机器上制作一张可以启动的软盘,向

其中拷贝主板所带的BIOS升级工具(或Award的标准BIOS升级工具)和BIOS程序文

件,打开坏机器的电源,如果此时能够成功地从软驱启动,那么就可以运行BIOS
升级
工具来恢复BIOS程序。
  方法四:热插拔。如果主板经销商不愿承担责任,你又找不到ISA显卡,那么

以试试最后一招,即热插拔,详细步骤如下:
  1. 找一台具有相同型号主板的机器,如果找不到,主板类型相近的也可,最
关键
的一点是这两块主板的BIOS芯片的擦写电压和针脚数是相同的,并且不是焊在主
板上
的。
  2. 准备一个集成电路起拔器,没有的话,也可以用小平口螺丝刀代替;准备
一张
拷有BIOS升级工具和BIOS程序文件的启动盘,具体操作为:
  ·先查清楚BIOS芯片被破坏的主板的型号和厂商,以及采用的何种BIOS程序

然后用好的机器上网,下载适用于该主板的最新版本的BIOS数据文件和写入工具

件。BIOS数据文件一般是*.bin格式的文件,而写入工具是一个可执行文件。也
可向
主板销售商索取这两个文件。
  ·将一张干净无毒的软盘做成纯DOS启动盘,盘中只能保留IO.SYS、MSDOS.S
YS
和COMMAND.COM三个文件,然后再把要升级的BIOS数据文件和写入工具文件拷入其
中。
  3. 将身上的静电放掉,有可能的话戴上绝缘手套。在坏主板上找到BIOS芯片

记住它在插座中的方向,用起拔器将之拔出。如果用螺丝刀,那么应先从一头将
BIOS
芯片撬起少许,然后再从后一头撬,如此反复,直到可以轻松将BIOS芯片取下为
止。
  4. 同样,在好主板上找到BIOS芯片并将之取下,然后再把它重新插入到插座
中,
但不要插紧了,只要保证各个引脚都接触良好即可。
  5. 打开电源从软盘启动机器,运行BIOS升级工具,打开BIOS程序文件。
  6. 用起拔器或手(不要再用螺丝刀撬了,以避免出现短路)把好的BIOS芯片

下来,换上坏的BIOS芯片,注意也不用插得太紧,方向千万不要弄错,然后开始
升级
BIOS。
  7. 升级完毕后关闭计算机电源,并把两块BIOS芯片各归原位,这次要插牢。

  如果两块主板的型号不一样,那么坏主板的BIOS升级工具有可能无法在好主
板上
运行,此时可以换用专门针对好主板的BIOS升级工具,或者使用Award和AMI等BI
OS
厂商的标准升级工具。

  迎接下一次挑战

  尽管4月26日已经过去了,但并不表示今后我们就安全了,一些朋友的机器中

然感染有CIH病毒,如果不及时清除的话,迟早会遭受到CIH病毒的攻击,因此,

们现在就应行动起来,消灭已感染的CIH病毒,并武装自己的计算机,以迎接CIH

毒在下一个26日的挑战。
  选择安装一种具有实时监测和实时查杀功能的杀毒软件,例如NAI的VirusSc
an、
Symantec的NAV、国产的KILL98等等,并保证一直打开实时监测功能,这样才能尽

发现事故苗头。经常访问生产杀毒软件的厂商的网站,下载最新的升级版和病毒
数据
文件。具体的查杀CIH病毒的软件及使用方法请见本期第10版文章。
  另外,主板厂商微星目前已宣布了紧急救护措施,凡被CIH攻击的微星主板用
户,
若自己无法修复,可将主板送回所购买的经销商处,微星将协助并指导当地的代
理商
完成修复工作。


--
------------------------________________________________ 
||*******|| 
[  @——@ ] 
!    **   !    你的好友--我--随时伴随你. 
   _____      喵:[email protected] 
                请您在回复时选择“将本文章寄一份给原作者”,把您的高见送到我的信箱。 

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.47.130]

[关闭][返回]