|
CIH病毒是只纸老虎
王立元 俗话说“谈虎色变”,不少计算机用户惧怕“CIH病毒”也可以说到了色变的程度!按照笔者与“CIH病毒”一个多月的搏杀经验,并对“CIH病毒”的危害进行了多项试验,我认为“CIH病毒”只不过是一只“纸老虎”! 今年10月是笔者的计算机最不幸的一个月,由于我的不慎而染上了“CIH病毒”,因此也随着我而饱经风霜。笔者的计算机的CPU为P166,维新5128主板,当时只安装了Windows 98一个操作系统,磁盘为FAT32的文件管理格式。10月上旬的一天,我在朋友家见到一张印有《苦丁香软件》(精品版)的光盘上面有几个英文应用软件的汉化程序(是从网络上下载的共享软件),拿回来一安装,糟了,原来非常正常的系统,现在不能正常运行了。主要表现为Windows 98不能正常启动,不能正常关闭。 在与“CIH病毒”搏杀的这一个多月的时间里,大致可分为两个阶段,前半个月是查找系统不正常的原因,后半个月主要是分别安装Windows 95、Windows 97和带“CIH病毒”的程序来观察、认识、查杀“CIH病毒”,对“CIH病毒”从感性认识上升到理性认识。 “CIH病毒”主要从网络(主要指因特网和局域网)、光盘(主要是盗版光盘)、软盘三种载体传播,当然也不排除硬盘、磁带机等其他载体传播。 “CIH病毒”只感染Windows 9x (包括 Windows 95、Windows 97、Windows 98 )及在Windows 9x下运行的后缀名为exe、com、vxd、vxe的应用程序,并且连自解压文件、压缩文件和压缩包中的这四种后缀名的程序均受感染(连拷贝到硬盘的Windows 98并压缩到后缀名为CAB中的压缩文件以及备份文件包中的均受感染),并不像有的文章所介绍的毁坏磁盘上的所有文件。 “CIH病毒”感染硬盘上的所有逻辑驱动器,但是用Pqmagic分区魔术师隐藏后的逻辑驱动器可以免除感染。 如果你多次重新从C盘启动机器引导系统,就等于给“CIH病毒”创造了破坏你的计算机主板BIOS的机会和条件。“CIH病毒”只能破坏那种可升级的BIOS( FLASH型),而不能破坏那种不可升级的BIOS(EPROM型 ),它对后一种BIOS的最大破坏,是使CMOS的参数回到出厂时的设置。“CIH病毒”对BIOS的破坏除了每月的26日之外,在其他日子只要你多次热启动,也同样破坏你的BIOS。笔者的试验除了选择26日这一天外,在其他日子里也进行过这些试验,“CIH病毒”同样会发作破坏主板的BIOS。 “中毒”症状 1. Windows 9x感染“CIH病毒”后,系统不能正常启动。当系统启动出现蓝天白云的画面后,在正常情况下下一个画面应该是军绿色的画面,然后系统引导出现用户所设定的Windows 壁纸,但是当系统感染“CIH病毒”后,在系统引导出现军绿色的画面后,不再继续引导,在军绿色的画面上出现一个警告对话框: A fatal exception 0d has occurred at 0028: (0033ac2 in vxd ifsmgrc01) + 000009a2. . The current application will be terminated. Press any to terminate the current application. Press ctrl+alt+del again to restart your computer. You will lose any unsaved information in all applications. (1)如果你选择按Ctrl+Alt+Del三键重新从C盘启动计算机,计算机可以重新启动,但这时也是“CIH病毒”破坏用户计算机BIOS的最好时机,笔者开始由于对“CIH病毒”知之甚少,像这样第三次热启动计算机时,计算机‘嗡’的一响,显示器屏幕一闪,吓了我一跳,原来是“CIH病毒”发作,将我为机器所设定的CMOS参数完全改变,返回到出厂时的设定,并且没有硬盘参数,系统不能引导到硬盘,我只得重新设置CMOS参数。但是我心里还是暗自庆幸计算机BIOS没有完全破坏掉,原来笔者的BIOS的ROM存储器为EPROM型,也就是那种不可升级的BIOS,如果是FLASH型的ROM存储器,也就是那种可升级的BIOS,这次“CIH病毒”就会将我的主板给报废了!好险哪! (2)这时候如果你敲任意键,计算机会死机,你也只得重新启动,后果与上面的一样。 2. 应用程序不能正常运行,并且莫名其妙地死机。即使在“安全模式”下被感染的应用程序大多数也不能正常运行,有的虽然勉强能运行也会莫名其妙地死机。 3. 系统不能正常关闭。系统运行到蓝天白云 “Windows正在关机……” 的画面时就会死机。这时你如果不慎又选择计算机的热启动按钮,就又会给“CIH病毒”创造破坏用户计算机BIOS的机会和条件。 4. 感染“CIH病毒”的程序体积增大。笔者后来将感染了330多个程序的“CIH病毒”全部杀死后,原来680MB的全部文件,缩小到642MB,节省磁盘空间38MB。 笔者对系统感染“CIH病毒”的症状小结如下:系统不能正常启动,但可以选择“安全模式”启动;被感染“CIH病毒”的应用程序不能正常运行,并且会造成莫名其妙的死机;在“安全模式”下系统不能正常关闭,运行到关闭程序时死机;被感染“CIH病毒”程序的体积增大,程序被破坏得面目全非。 “防毒”措施 1. 使用正版软件,如果正版软件感染了“CIH病毒”,你可以找软件商索赔,给你造成的损失由软件商承担。 2. 对你所看中的网络、光盘和软盘等载体上的软件,在安装使用前一律先用可查杀“CIH病毒”的杀毒软件进行查毒杀毒,杀毒软件要选择可查杀自解压或压缩包中的“CIH病毒”的杀毒软件。不过笔者试验过,自解压软件、压缩软件或压缩包中带“CIH病毒”的软件,只要你不解压缩并且不安装它们,“CIH病毒”也无法感染硬盘中的系统程序和应用程序。 3. 在Windows 9x系统中安装查杀“CIH病毒”的全天候监视软件,这样把好系统的出入口,做到有备无患。并且用Windows 9x的计划任务程序定期运行查杀病毒软件,对系统程序和应用程序进行有计划的病毒扫描,发现病毒即时清除。 4. 在更新系统和安装新的软件前,一定要对系统和新软件进行一次全面的病毒检查,做到防患于未然。 “治毒”方法 用户的计算机如果真的感染了“CIH病毒”,一是不要怕,二是要认真治理。只要治理方法得当,就能够转危为安。 1.保护主板的BIOS 首先用户应了解自己计算机主板的BIOS是哪一种类型的,如果是那种不可升级型的,那么你大可不必惊慌,因为“CIH病毒”对这种BIOS的最大危害,只能使CMOS的设置返回到该主板出厂时的设置,用户只要将CMOS重新设置即可。 如果用户的计算机BIOS是那种可升级型的,又出现了上面笔者所介绍的症状后,那可得千万小心,不要轻易重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为A盘软驱,然后用Windows 9x的系统引导盘引导系统到DOS7.0,这时你就可以对硬盘的所有逻辑驱动器进行一次全面扫描并查杀“CIH病毒”,经扫描确认无“CIH病毒”后,再查找产生该问题的原因或进行其他操作。一定要记住不要轻易重新启动并从C盘引导系统,以免给“CIH病毒”发作创造可乘之机。 2. 清除“CIH病毒” 由于“CIH病毒”不感染和破坏用户运用其他应用软件制作的各种文件和数据库(程序员所编写的后缀名为上文所介绍的四种程序,只要还没有联接运行,也不会感染),“CIH病毒”只将Windows 9x系统软件和基于Windows 9x的应用软件破坏,因此用户也不必惊慌,按照笔者的实践,彻底清除硬盘所有的“CIH病毒”后,接下来的事是:坐下来慢慢地一五一十地重新安装系统软件和应用软件。因为“CIH病毒”修改了系统软件和应用软件,杀毒软件能将“CIH病毒”杀死,但不能帮你恢复系统程序和应用程序,你必须重新安装,没有其他措施可选择。 重新安装系统软件和应用软件的方法有两种:一种是在被“CIH病毒”破坏的基础上直接安装,这种方法比较简便,但占用磁盘的空间会增加,主要是这种重新安装会形成一定数量的而且用户不易辨认的垃圾文件;另一种方法是将用户的全部重要数据进行完全备份,然后将被“CIH病毒”破坏的系统程序和应用程序删除,或者用Format格式化命令将硬盘重新格式化后,再重新安装系统程序和应用程序,这样可以节省磁盘空间。 |