发信人: lcbin()
整理人: emil(1999-05-15 13:50:36), 站内信件
|
CIH修复方法
本站只是进行介绍,未做实验,对由此引起的任何问题本站不负任何责任。
kill98 修复法
在这CIH瘟疫中,许多家国家机关,企业单位、银行系统,感染的机器初 步估计数万台,有用户反映的情况看来,这些CIH的全面发作主要限于 1.2 版,被 破坏的大部分为硬盘数据,也有不少用户的主板在劫难逃。具体的表现形式包括 :硬盘不能正常启动,所有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的 BIOS被病毒改写);软盘不能正常启动计算机。
对于已经被CIH破坏的硬盘,可以作以下处理:
1、第一个逻辑盘,通常是C:盘,通常是不可完全恢复,但是如果使用KIL L 98制作过应急盘,可以用KILL 98 急救盘中保存的主引导区记录、分区表记录 恢复硬盘,找回大部分文件。
2、其它逻辑盘,只要不是FAT32,可以用NDD之类的磁盘工具或用KILL 9 8 急救盘恢复,但需要使用者对硬盘的物理结构有足够的了解。
3、FAT32分区的逻辑盘,需要对FAT32结构具有深入了解的专业人员用DE BUG等工具手工进行恢复。
主板修复
对于被CIH破坏的主板,可以作以下处理:
1、如果是能够提供良好服务的厂家的品牌主板,请与厂家联系。
2、找一个相同型号的主板(要求BIOS的厂家和版本必须严格相同), 下载主板厂家提供的升级文件,取出坏BIOS,用新的BIOS片启动您的电脑,并在 带电的情况下换回坏的BIOS片,从A盘写入。(此办法由于带电操作,有很大危险 ,用户操作有可能操作后造成硬件整体被破坏,请用户慎重!!!)
3、有的主版升级程序在写入时会检测BIOS版本号,如无则无法改写, 此种无法写入BIOS情况则必须更换计算机的BIOS芯片,可以与您的硬件购买商,或 主板在中国的代理商联系。
瑞星升级程序
升级程序标准版 版 本 大小 下载CIH升级程序
9.0(10)
601KB 直接下载uprav.exe 可修复被CIH破坏的D/E等分区!
KV300(F10)功能
重建分区表
4月26日,CIH病毒v1.2发作.具体的表现形式包括:硬盘不能正常启动,所 有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的BIOS被病毒改 写);软盘不能正常启动计算机.
(1)对于第一种情况,可以采用KV300的F10功能键重建您的硬盘分区表.具 体的操作步骤:
a)用干净的系统软盘引导计算机,等KV300的主画面出现后,按F10功能键, KV300会自动检测您的硬盘参数及分区情况,并对非正常的硬盘分区表进行重建;当 然,在重建之前,会提示您备份一份原已经损坏的分区表.
b)为了安全起见,必须备份原分区表;在操作的过程中,按提示,会敲击两次 "y"键;
Kill_CIH杀灭内存中的CIH病毒
KILL_CIH是Symantec研制的检测CIH病毒软件,大小为24KB,属于自由软件,
完全免费使用,运行环境为Win95/98。
该程序可以十分简洁迅速地“关闭”受CIH病毒侵袭的计算机内存中所有的C IH
病毒感染进程。KILL_CIH并不会从文件中检测或清除W95CIH病毒,它只会使内 存
中的病毒失效,令一个反病毒程序清除病毒的感染而不会将病毒扩散,即可以使 用户
在杀毒前不必先用干净的系统盘重新启动计算机。
KILL_CIH这个工具本身已设计成可以避免病毒感染并安全地运行,即使病毒已 经
驻留在电脑中。运行KILL_CIHEXE程序不需要命令行参数,它会在完成时根据不 同
的检查结果而显示不同的信息,如最常见的信息就是“The W95CIH virus was not
found in memory”(在内存中没有找到W95.CIH病毒)。
如果你的机器已经感染了CIH病毒,并且准备更新你的反病毒库或扫描系统之 前,
请首先运行工具KILL_CIH。这样,你就可以放心地升级你的病毒库文件并扫描你 的机
器。http://www.Symantec.com下载。
《 CIH病毒发作之后 》
拯救硬盘数据
由于CIH病毒必须在进入Windows 9x系统后才能发作,它乱写硬盘的操作可能 很
快导致系统死机,用户在察觉系统导常时也会迅速关机,所以多数情况下只有硬 盘最
前面的也是最重要的一部分数据被覆盖了,而其它数据并未遭到破坏,这就为恢 复硬
盘上部分数据提供了可能。一般来说,原来的C盘基本上无法恢复,而D、E、F等 盘
基本上能恢复。
方法一:由于许多用户没有备份主引导扇区的习惯(尽管KV300、NDD等工具 软件
有此功能),故只能设法找到与你的硬盘完全相同(型号、分区情况等)的另一 个硬盘。
然后使用KV300的“KV300/B”命令(主引导扇区备份),将这个硬盘的主引导扇 区备
份出来。用DOS启动盘引导你的系统,再用KV300的“KV300/K”命令(主引导扇区 恢
复),将前面备份的主引导扇区恢复至你的硬盘。恢复后可以试着向硬盘传送系 统文件,
如果传送成功,且硬盘能够引导,说明故障排除。
使用以上方法的关键是找到完全相同的另一个硬盘,否则就不能使用。若你 的硬
盘中有重要的数据,你还可以造一个主引导扇区。即借一个和你的硬盘一样的新 硬盘,
按相同原则分区。用KV300将引导扇区备份出来,再恢复到损坏的硬盘中。
方法二:如果不具备以上条件,对于经验较少的朋友来说,恢复D、E、F等盘 的
另一种方法是使用KV300的F10功能来重建硬盘分区表,该功能能够自动查找硬盘 的
扩展分区表,并把它链回到主引导扇区中,从而恢复D、E、F等分区,不过,该方 法
在某些时候可能无效,恢复出来的分区并不一定正确。
方法三:把硬盘取下来作为从盘挂到其它机器中,运行最新版的Norton Dis k Doctor
或其它硬盘修复工具,也能查找到丢失的扩展分区。
方法四:采用重写主引导扇区的方法,此法可能会丢失硬盘中的数据,只能 在万
不得已时使用。方法是:用DOS启动盘引导你的系统,加参数“/MBR”运行FDISK (即
运行“FDISK /MBR”),此时FDISK会重写主引导扇区(由于/MBR是个比较危险的 参数,
微软未将其公开)。应注意不要在多于四个分区的硬盘上使用,也不要在安装了 System
Commander等多操作系统管理软件的硬盘上使用。
方法五:对于经验丰富的朋友来说,如果前面的方法不奏效,还可以使用No rton
Utilities 8.0的DiskEdit磁盘编辑工具来手工查找和修复分区表,具体步骤如下 :
1. 从软盘启动机器,运行FDISK /MBR命令重建一个空的分区表。
2. 运行拷贝到软盘上的DiskEdit,选择第一物理硬盘,显示硬盘上的所有扇 区。
3. 利用DiskEdit的“Find Object”功能搜索可能是分区表的扇区,人工判 断搜
索结果是否正确。
4. 记下搜索到的第一个扩展分区表的扇区所在位置,返回到硬盘的第一个扇 区
中,把显示方式切换至分区表形式,在第一个分区表项中填入原来C盘所在分区的 类
型、起始位置、终止位置、起始相对扇区和分区大小,在第二个分区表项中填入 扩展
分区的类型、起始位置、终止位置、起始相对扇区和分区大小,这些参数需要根 据分
区表的格式和含义由人工计算出来。
5. 修改好后存盘退出,重新启动机器,如果仍然不能访问原来的D、E、F等 分区,
则可能是因为计算有误,或者搜索结果不正确,如果是后一种情况则继续上面3~ 5步
的操作。
注意:PNU8是一个16位工具软件,不支持FAT32文件系统。如果你对NU确实感
兴趣,可使用NU3.0 for Windows95(98)及以上版本。
尽管CIH病毒发作之后C盘基本上无法恢复,但是我们仍有微弱的希望能够挽 救
回C盘上的部分文件,方法是使用Tiramisu数据恢复软件(可到
http://www.paulgao.com.cn去下载),让它查找原C盘中丢失的目录结构,找到 之后
可以选择拷贝目录中的文件到其它分区或硬盘中。Tiramisu能否成功恢复文件的 前提
条件是该文件原来是连续存放在硬盘之中,否则恢复结果不正确,那些在C盘上保 存
有重要数据的朋友可以试试该方法。
修复BIOS芯片
CIH病毒只能破坏少数几种主板的BIOS。BIOS芯片中的程序被破坏后,由于不 能
启动系统,也就无法直接用BIOS升级工具软件来重写BIOS,此时可以用下面的几 种
方法来修复BIOS芯片。
方法一:找主板经销商,请他们更换或帮忙重写一块BIOS芯片。
方法二:多数大城市的电脑城或电子城里都有一些商家拥有专门的Flash EE PROM
擦写器,可以到这些地方去重写BIOS芯片。
方法三:多数采用Award BIOS的BIOS芯片中都含有一个特殊的Boot Block, 这
个区域在5V电压下是无法改写的,它支持ISA显卡和从软驱启动。因此我们可以找 一
块ISA显卡暂时替换掉PCI或AGP显卡,在其它机器上制作一张可以启动的软盘,向
其中拷贝主板所带的BIOS升级工具(或Award的标准BIOS升级工具)和BIOS程序文
件,打开坏机器的电源,如果此时能够成功地从软驱启动,那么就可以运行BIOS 升级
工具来恢复BIOS程序。
方法四:热插拔。如果主板经销商不愿承担责任,你又找不到ISA显卡,那么 可
以试试最后一招,即热插拔,详细步骤如下:
1. 找一台具有相同型号主板的机器,如果找不到,主板类型相近的也可,最 关键
的一点是这两块主板的BIOS芯片的擦写电压和针脚数是相同的,并且不是焊在主 板上
的。
2. 准备一个集成电路起拔器,没有的话,也可以用小平口螺丝刀代替;准备 一张
拷有BIOS升级工具和BIOS程序文件的启动盘,具体操作为:
·先查清楚BIOS芯片被破坏的主板的型号和厂商,以及采用的何种BIOS程序 ,
然后用好的机器上网,下载适用于该主板的最新版本的BIOS数据文件和写入工具 软
件。BIOS数据文件一般是*.bin格式的文件,而写入工具是一个可执行文件。也 可向
主板销售商索取这两个文件。
·将一张干净无毒的软盘做成纯DOS启动盘,盘中只能保留IO.SYS、MSDOS.S YS
和COMMAND.COM三个文件,然后再把要升级的BIOS数据文件和写入工具文件拷入其 中。
3. 将身上的静电放掉,有可能的话戴上绝缘手套。在坏主板上找到BIOS芯片 ,
记住它在插座中的方向,用起拔器将之拔出。如果用螺丝刀,那么应先从一头将 BIOS
芯片撬起少许,然后再从后一头撬,如此反复,直到可以轻松将BIOS芯片取下为 止。
4. 同样,在好主板上找到BIOS芯片并将之取下,然后再把它重新插入到插座 中,
但不要插紧了,只要保证各个引脚都接触良好即可。
5. 打开电源从软盘启动机器,运行BIOS升级工具,打开BIOS程序文件。
6. 用起拔器或手(不要再用螺丝刀撬了,以避免出现短路)把好的BIOS芯片 拔
下来,换上坏的BIOS芯片,注意也不用插得太紧,方向千万不要弄错,然后开始 升级
BIOS。
7. 升级完毕后关闭计算机电源,并把两块BIOS芯片各归原位,这次要插牢。
如果两块主板的型号不一样,那么坏主板的BIOS升级工具有可能无法在好主 板上
运行,此时可以换用专门针对好主板的BIOS升级工具,或者使用Award和AMI等BI OS
厂商的标准升级工具。
迎接下一次挑战
尽管4月26日已经过去了,但并不表示今后我们就安全了,一些朋友的机器中 仍
然感染有CIH病毒,如果不及时清除的话,迟早会遭受到CIH病毒的攻击,因此, 我
们现在就应行动起来,消灭已感染的CIH病毒,并武装自己的计算机,以迎接CIH 病
毒在下一个26日的挑战。
选择安装一种具有实时监测和实时查杀功能的杀毒软件,例如NAI的VirusSc an、
Symantec的NAV、国产的KILL98等等,并保证一直打开实时监测功能,这样才能尽 早
发现事故苗头。经常访问生产杀毒软件的厂商的网站,下载最新的升级版和病毒 数据
文件。具体的查杀CIH病毒的软件及使用方法请见本期第10版文章。
另外,主板厂商微星目前已宣布了紧急救护措施,凡被CIH攻击的微星主板用 户,
若自己无法修复,可将主板送回所购买的经销商处,微星将协助并指导当地的代 理商
完成修复工作。
-- ------------------------________________________________
||*******||
[ @——@ ]
! ** ! 你的好友--我--随时伴随你.
_____ 喵:[email protected]
请您在回复时选择“将本文章寄一份给原作者”,把您的高见送到我的信箱。
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.47.130]
|
|