老机器硬盘出毛病了,也该换了,就新攒了台新机子,又给老机子学么了块30G的希捷硬盘,想给老娘用。重新分区格式化后,重装XP系统,然后装了几个常用工具,又用360修补漏洞,再装的卡巴2009,在修补漏洞过程中发现出现问题,系统窗口里的标题栏中的汉字和提示信息里的汉字全变成了“□”,无法显示,于是用卡巴杀毒,发现不少木马。在杀到半截时,机器就重新启动了,再重启后,便只能到用户登录界面,一进系统就自动注销,无法进入系统,于是只能重装系统,又出现了新的问题,选择CDROM启动机器后,发现进入光驱启动后键盘鼠标全部被锁死,不管用了,只能等读秒结束后,自动进入硬盘启动,于是又卡在的用户登录界面,这时候鼠标键盘又能用了,无法重装系统......死循环出现了。
1、我用的系统盘应该没有问题,应为新机器就是用这张盘装的,未出现任何问题;
2、老机器的硬件应该也没有问题,在老硬盘重新格式化分区前我试了下用老硬盘启动,没有什么问题;
3、应为后来是非正常关机,启动时都会进入可选择进入安全模式的界面,但此时键盘鼠标还是锁死的,无法选择进入安全模式;
同事说可能是BIOS中毒了,不敢挂在新机器上重新格式化,求助各位大虾,到底怎么办,谢谢各位了
回三楼:我要是能格式化早格了,回去换成PS2口的鼠标键盘试试
回四楼:没你想的那么老,AMD2.8G的
回五楼:同三楼
以前都是U口的鼠标键盘,回去先换成PS2口的鼠标键盘试试,再看看CPU是否有毛病,不过还是谢谢大家了
著名的CIH病毒。
CIH病毒,别名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等,属文件型病毒,由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,CIH病毒感染windows95/98系统下的可执行(EXE)文件,当一个染毒的EXE文件被执行,CIH病毒驻留内存,当其他程序被访问时对它们进行感染。
CIH病毒主要传播媒体是网络--因特网和局域网,光盘--主要是盗版光盘、软盘,最早于通过盗版软件(包括一些流行的游戏软件“古墓奇兵”)传播,速度急快。由于因特网的普及, 因特网已成为最主要的传播途径。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的后缀为exe、com、vxd、vxe 的应用程序,并且连自解压文件均受感染,CIH病毒感染硬盘上的所有逻辑驱动器。如果多次重新从C盘启动计算机,就为CIH病毒创造了破坏计算机主板BIOS的机会。CIH病毒只能破坏那些可升级的BIO S(FLASH型),它对后一种BIOS只是使CMOS的参数回到计算机出厂时的设置。 CIH病毒对BIOS的破坏除了每月的26日外,在其他日子只要多次热启动,同样会造成破坏。
1998年6月初在台湾被发现之后,便开始在全球爆发,正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播,在短短几个月内一跃进入流行病毒的前十名。
CIH变种发展的5个版本:
CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破坏性,感染Windows PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息,发作日为每月26日。
CIH病毒v1.0版本:
最初的 V1.0版本仅仅只有 656字节, 其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”, 将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时, 将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
CIH病毒快速传播的时间表:
1998/6/2 台湾传出首例CIH病毒报告
1998/6/6 发现CIH V1.2版本
1998/6/12 发现CIH V1.3版本
1998/6/26 CIH V1.3版本造成一定程度的破坏
1998/6/30 发现CIH V1.4版本
1998/7 在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
1998年7月26日,CIH病毒开始在美国大面积传播;
1998/8 在Wing Commander 游戏站点发现DEMO被感染
1998/8 两家欧洲的PC游戏杂志光盘被发现感染CIH
1998/8/26 CIH 1.4 版本爆发, 首次在全球蔓延
1998年8月26日,该病毒入侵中国
1998年8月31日,公安部发出紧急通知,新华社、中央台新闻联播全文播发
1998/9 Yamaha 为某个类型的CD-R驱动编写的软件被感染CIH
1998/10 一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999/3 CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装
1999/4/26 CIH 1.2 版本首次大范围爆发 ,全球超过六千万台电脑被不同程度破坏
2000/4/26 CIH 1.2 版本第二次大范围爆发 ,全球损失超过十亿美元;
2001/4/26 CIH 第三次大范围爆发 ,仅北京就有超过六千台电脑遭CIH破坏
2002/4/26至今,CIH病毒发作趋缓,但江民客户服务部每年仍会接到数十例感染CIH病毒的用户求救。
CIH为什么这么“厉害”?
当CIH病毒发作时它会覆盖掉硬盘中的绝大多数数据,这样只能从最新的备份中恢复; 该病毒还有另一种破坏方式:即试图覆盖Flash BIOS中的数据。一旦Flash BIOS被覆盖掉,那么机器将不能启动,只有将Flash BIOS进行重写之后才行。Flash BIOS存在于多种类型达的PENTIUM机器中,象Intel 430TX,在大多数机器中Flash BIOS通过一个跳线保护,通常情况下,保护是关闭的。
CIH病毒感染windows可执行文件(EXE),它不感染word和excel文档。CIH感染win95/98系统,却不能感染windows NT系统。
CIH病毒采取一种特殊的方式对可执行文件进行感染,感染后的文件大小根本没有变化,病毒代码的大小在1K左右。为了获取对系统文件的调用,该病毒跟踪处理器0环到3环的跳转。
感染CIH病毒后会出现如下症状:
系统不能正常启动,这时如果重新热启动,将会给病毒破坏 BIOS带来机会,如果是不可升级的BIOS将会使CMOS参数变为出厂时的状态,如果是可升级的BIOS将使主板受到破坏。应用程序不能正常运行,并莫明其妙地出现死机现象。系统不能正常关闭,当系统出现“Windows正在关机......”画面时会出现死机, 这时如果热启动,将可能使硬件受破坏。另外,感染CIH病毒的软件体积增大,程序被破坏。
判断是否感染CIH病毒的三种方法
1、由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具 > 查找 > 文件或文件夹”, 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字” 栏中输入要查找的特征字符串----“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下, 推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550, 其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值, 则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
2、感染到CIH v1.2版,则所有WinZip自解压文件均无法自动解开,同时会出现WinZip自解压首部中断。可能原因:磁盘或文件传输错误。这个信息。感染到CI?Hv1.3版则部分WinZip自解压文件无法自动解开。 有的还会造成MAGICZIP不能安装,如果遇到以上情况,有可能就是感染上CIH病毒了。
3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别,认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时,有可能就会是有CIH病毒存在了。
防范和对付CIH病毒
对付 CIH病毒关键是如何防范。首先,不要用盗版软件,坚持使用正版软件。其次,对网络上、光盘和软盘上的软件在安装或使用前一律用杀毒软件进行检查,要求所有的杀毒软件要有查杀自解压或压缩包中CIH病毒的能力。 第三,可在 windos系统中安装查杀 CIH病毒的全天候实施监视软件,并且定期运行杀毒软件,对系统程序和应用程序进行全面的扫描。
如果已经受到 CIH病毒的感染该怎样办呢?首先用户应该确定自己计算机主板的BIOS是那种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A 盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备分,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。
什么是bios病毒,这是个广大网友经常在我站在线答疑栏目的提问,现在就此问题作一解答(本文是电脑知识网 www.SQ120.COM 推荐文章)
BIOS的英文全称是:BASIC INPUT/OUTPUT SYSTEM,即基本输入输出系统。BIOS的内容主要是有关微机系统最重要的基本输入输出程序、系统信息设置程序、开机上电自检程序、系统启动自举程序以及一些控制基本输入输出设备的中断服务例程等。BIOS是你打开电脑后最先运行的程序,它检测并初始化系统中的硬件设备,然后从指定的设备上载入操作系统。
而其载体是ROM,我们可以理解为比软盘还小的存储器,以前主板上的ROM一般是在芯片生产过程中就将BIOS数据固化上去,不能进行第二次写入操作,那么这种BIOS芯片不会被病毒破坏;而为了让主板支持更新的硬件,在硬件飞速发展的今天,我们只能将BIOS保存在一种可读写的芯片(ROM)上,方便BIOS更新升级,而其写入速度快,故名Flash ROM。但这也给CIH这样的病毒带来了可乘之机,一旦存储在FLASH ROM里的BIOS受到破坏,主板根本不能使用,一般表现形式是开机就是黑屏,电脑无任何反应现象,现目前发现破坏FLASH BIOS比较严重的病毒就是CIH,以后将会出现与此相似而破坏FlashBIOS的病毒,届时我们再具体阐述。
病毒发作后的现象
主板FlashBIOS数据被破坏,其表现形式一般是开机黑屏,无任何反应;用硬件替换法,可以测出除主板以外,其它硬件均正常;如果你的主板刚好是26号出现开机黑屏;从以上三点,我们在检测出其它硬件均正常的情况下,就可以怀疑你的BIOS是给CIH这样的病毒破坏了。
急救措施
1、热插拔
找一块与你的主板类型相同的主板,如果一时找不到也可用类型相似的主板,不过一定要保证BIOS容量、刷新电压相同,还有IO芯片相同(否则你连键盘都不能用)。接着用BIOS好的那块主板启动进入纯DOS,然后在带电情况下将主板上的BIOS芯片拔掉,再把被病毒破坏的BIOS插上去,运行该主板驱动盘中的更新或升级BIOS程序进行刷新。不过这个过程由于是带电操作,所以非常危险,操作不好很有可能因为瞬时电流过高而造成BIOS芯片被电流击穿,从而永久性损坏。所以我们可以在进行之前,将手洗净,带上手套(无静电)进行操作。反正死马当作活马医……对于普通用户不予推介。(具体操作可参考网上BIOS专业网站中的BIOS升级步骤,如http://www.reginfo.net)
2、更换
上述方法如果不行,可以直接找主板经销商直接更换BIOS芯片,或请其专业人士进行BIOS重写操作。
3、利用BIOS编程卡恢复
市场上有许多针对于主流BIOS芯片的BIOS编程器,不过价格都在400元以上,如果你嫌贵,那也不要紧,因为CIH病毒的横行,许多电脑公司都提供了恢复BIOS的业务,用的工具就是BIOS编程器,你可以带上你的主板叫他们去恢复,价格一般在20~40元。
预防措施
由于有的病毒(如我国台湾人陈盈豪编写的CIH病毒)利用FLASH ROM的可擦写特性和Windows系统的漏洞,对BIOS程序数据进行破坏,因此我们为了禁止未授权用户和电脑病毒对BIOS的写入,为了系统安全着想,可以采取以下几方面的预防措施:
1、一般主板上有个Flash ROM的跳线开关,用于设置BIOS的只读/可写状态。关机后在主板上找到它并将其设置为只读(可参照主板说明书操作),有的主板不提供此功能。
2、新一点的主板可以在CMOS中设置,一般将BIOS设置中:Flash BIOS Protection(可刷写BIOS保护)选择为Enabled,如果要对BIOS进行升级或更新时,再将Flash BIOS Protection(可刷写BIOS保护)选择为Disabled。
3、现在主板纷纷出招抵御病毒对主板BIOS的侵袭。而其中的DUAL-BIOS技术可以说是效果较好的一种,可以很好地抵御病毒对主板的侵袭。使用这种技术的主板上安插有两块BIOS芯片,其中一块为主BIOS芯片,另一块为后备BIOS芯片;正常情况下只有主BIOS在工作,而当主BIOS芯片中的BIOS程序被毁坏时,该技术可以动用后备BIOS芯片中的BIOS程序数据来引导机器,恢复主BIOS。使用这种技术的代表产品是GIGABYTE技嘉公司的BX2000+主板。
CIH病毒,别名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等,属文件型病毒,由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,CIH病毒感染windows95/98系统下的可执行(EXE)文件,当一个染毒的EXE文件被执行,CIH病毒驻留内存,当其他程序被访问时对它们进行感染。
CIH病毒主要传播媒体是网络--因特网和局域网,光盘--主要是盗版光盘、软盘,最早于通过盗版软件(包括一些流行的游戏软件“古墓奇兵”)传播,速度急快。由于因特网的普及, 因特网已成为最主要的传播途径。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的后缀为exe、com、vxd、vxe 的应用程序,并且连自解压文件均受感染,CIH病毒感染硬盘上的所有逻辑驱动器。如果多次重新从C盘启动计算机,就为CIH病毒创造了破坏计算机主板BIOS的机会。CIH病毒只能破坏那些可升级的BIO S(FLASH型),它对后一种BIOS只是使CMOS的参数回到计算机出厂时的设置。 CIH病毒对BIOS的破坏除了每月的26日外,在其他日子只要多次热启动,同样会造成破坏。
1998年6月初在台湾被发现之后,便开始在全球爆发,正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播,在短短几个月内一跃进入流行病毒的前十名。
CIH变种发展的5个版本:
CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破坏性,感染Windows PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息,发作日为每月26日。
CIH病毒v1.0版本:
最初的 V1.0版本仅仅只有 656字节, 其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”, 将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时, 将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
CIH病毒快速传播的时间表:
1998/6/2 台湾传出首例CIH病毒报告
1998/6/6 发现CIH V1.2版本
1998/6/12 发现CIH V1.3版本
1998/6/26 CIH V1.3版本造成一定程度的破坏
1998/6/30 发现CIH V1.4版本
1998/7 在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
1998年7月26日,CIH病毒开始在美国大面积传播;
1998/8 在Wing Commander 游戏站点发现DEMO被感染
1998/8 两家欧洲的PC游戏杂志光盘被发现感染CIH
1998/8/26 CIH 1.4 版本爆发, 首次在全球蔓延
1998年8月26日,该病毒入侵中国
1998年8月31日,公安部发出紧急通知,新华社、中央台新闻联播全文播发
1998/9 Yamaha 为某个类型的CD-R驱动编写的软件被感染CIH
1998/10 一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999/3 CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装
1999/4/26 CIH 1.2 版本首次大范围爆发 ,全球超过六千万台电脑被不同程度破坏
2000/4/26 CIH 1.2 版本第二次大范围爆发 ,全球损失超过十亿美元;
2001/4/26 CIH 第三次大范围爆发 ,仅北京就有超过六千台电脑遭CIH破坏
2002/4/26至今,CIH病毒发作趋缓,但江民客户服务部每年仍会接到数十例感染CIH病毒的用户求救。
CIH为什么这么“厉害”?
当CIH病毒发作时它会覆盖掉硬盘中的绝大多数数据,这样只能从最新的备份中恢复; 该病毒还有另一种破坏方式:即试图覆盖Flash BIOS中的数据。一旦Flash BIOS被覆盖掉,那么机器将不能启动,只有将Flash BIOS进行重写之后才行。Flash BIOS存在于多种类型达的PENTIUM机器中,象Intel 430TX,在大多数机器中Flash BIOS通过一个跳线保护,通常情况下,保护是关闭的。
CIH病毒感染windows可执行文件(EXE),它不感染word和excel文档。CIH感染win95/98系统,却不能感染windows NT系统。
CIH病毒采取一种特殊的方式对可执行文件进行感染,感染后的文件大小根本没有变化,病毒代码的大小在1K左右。为了获取对系统文件的调用,该病毒跟踪处理器0环到3环的跳转。
感染CIH病毒后会出现如下症状:
系统不能正常启动,这时如果重新热启动,将会给病毒破坏 BIOS带来机会,如果是不可升级的BIOS将会使CMOS参数变为出厂时的状态,如果是可升级的BIOS将使主板受到破坏。应用程序不能正常运行,并莫明其妙地出现死机现象。系统不能正常关闭,当系统出现“Windows正在关机......”画面时会出现死机, 这时如果热启动,将可能使硬件受破坏。另外,感染CIH病毒的软件体积增大,程序被破坏。
判断是否感染CIH病毒的三种方法
1、由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具 > 查找 > 文件或文件夹”, 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字” 栏中输入要查找的特征字符串----“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下, 推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550, 其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值, 则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
2、感染到CIH v1.2版,则所有WinZip自解压文件均无法自动解开,同时会出现WinZip自解压首部中断。可能原因:磁盘或文件传输错误。这个信息。感染到CI?Hv1.3版则部分WinZip自解压文件无法自动解开。 有的还会造成MAGICZIP不能安装,如果遇到以上情况,有可能就是感染上CIH病毒了。
3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别,认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时,有可能就会是有CIH病毒存在了。
防范和对付CIH病毒
对付 CIH病毒关键是如何防范。首先,不要用盗版软件,坚持使用正版软件。其次,对网络上、光盘和软盘上的软件在安装或使用前一律用杀毒软件进行检查,要求所有的杀毒软件要有查杀自解压或压缩包中CIH病毒的能力。 第三,可在 windos系统中安装查杀 CIH病毒的全天候实施监视软件,并且定期运行杀毒软件,对系统程序和应用程序进行全面的扫描。
如果已经受到 CIH病毒的感染该怎样办呢?首先用户应该确定自己计算机主板的BIOS是那种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A 盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备分,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。
什么是bios病毒,这是个广大网友经常在我站在线答疑栏目的提问,现在就此问题作一解答(本文是电脑知识网 www.SQ120.COM 推荐文章)
BIOS的英文全称是:BASIC INPUT/OUTPUT SYSTEM,即基本输入输出系统。BIOS的内容主要是有关微机系统最重要的基本输入输出程序、系统信息设置程序、开机上电自检程序、系统启动自举程序以及一些控制基本输入输出设备的中断服务例程等。BIOS是你打开电脑后最先运行的程序,它检测并初始化系统中的硬件设备,然后从指定的设备上载入操作系统。
而其载体是ROM,我们可以理解为比软盘还小的存储器,以前主板上的ROM一般是在芯片生产过程中就将BIOS数据固化上去,不能进行第二次写入操作,那么这种BIOS芯片不会被病毒破坏;而为了让主板支持更新的硬件,在硬件飞速发展的今天,我们只能将BIOS保存在一种可读写的芯片(ROM)上,方便BIOS更新升级,而其写入速度快,故名Flash ROM。但这也给CIH这样的病毒带来了可乘之机,一旦存储在FLASH ROM里的BIOS受到破坏,主板根本不能使用,一般表现形式是开机就是黑屏,电脑无任何反应现象,现目前发现破坏FLASH BIOS比较严重的病毒就是CIH,以后将会出现与此相似而破坏FlashBIOS的病毒,届时我们再具体阐述。
病毒发作后的现象
主板FlashBIOS数据被破坏,其表现形式一般是开机黑屏,无任何反应;用硬件替换法,可以测出除主板以外,其它硬件均正常;如果你的主板刚好是26号出现开机黑屏;从以上三点,我们在检测出其它硬件均正常的情况下,就可以怀疑你的BIOS是给CIH这样的病毒破坏了。
急救措施
1、热插拔
找一块与你的主板类型相同的主板,如果一时找不到也可用类型相似的主板,不过一定要保证BIOS容量、刷新电压相同,还有IO芯片相同(否则你连键盘都不能用)。接着用BIOS好的那块主板启动进入纯DOS,然后在带电情况下将主板上的BIOS芯片拔掉,再把被病毒破坏的BIOS插上去,运行该主板驱动盘中的更新或升级BIOS程序进行刷新。不过这个过程由于是带电操作,所以非常危险,操作不好很有可能因为瞬时电流过高而造成BIOS芯片被电流击穿,从而永久性损坏。所以我们可以在进行之前,将手洗净,带上手套(无静电)进行操作。反正死马当作活马医……对于普通用户不予推介。(具体操作可参考网上BIOS专业网站中的BIOS升级步骤,如http://www.reginfo.net)
2、更换
上述方法如果不行,可以直接找主板经销商直接更换BIOS芯片,或请其专业人士进行BIOS重写操作。
3、利用BIOS编程卡恢复
市场上有许多针对于主流BIOS芯片的BIOS编程器,不过价格都在400元以上,如果你嫌贵,那也不要紧,因为CIH病毒的横行,许多电脑公司都提供了恢复BIOS的业务,用的工具就是BIOS编程器,你可以带上你的主板叫他们去恢复,价格一般在20~40元。
预防措施
由于有的病毒(如我国台湾人陈盈豪编写的CIH病毒)利用FLASH ROM的可擦写特性和Windows系统的漏洞,对BIOS程序数据进行破坏,因此我们为了禁止未授权用户和电脑病毒对BIOS的写入,为了系统安全着想,可以采取以下几方面的预防措施:
1、一般主板上有个Flash ROM的跳线开关,用于设置BIOS的只读/可写状态。关机后在主板上找到它并将其设置为只读(可参照主板说明书操作),有的主板不提供此功能。
2、新一点的主板可以在CMOS中设置,一般将BIOS设置中:Flash BIOS Protection(可刷写BIOS保护)选择为Enabled,如果要对BIOS进行升级或更新时,再将Flash BIOS Protection(可刷写BIOS保护)选择为Disabled。
3、现在主板纷纷出招抵御病毒对主板BIOS的侵袭。而其中的DUAL-BIOS技术可以说是效果较好的一种,可以很好地抵御病毒对主板的侵袭。使用这种技术的主板上安插有两块BIOS芯片,其中一块为主BIOS芯片,另一块为后备BIOS芯片;正常情况下只有主BIOS在工作,而当主BIOS芯片中的BIOS程序被毁坏时,该技术可以动用后备BIOS芯片中的BIOS程序数据来引导机器,恢复主BIOS。使用这种技术的代表产品是GIGABYTE技嘉公司的BX2000+主板。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2008-12-23
BIOS病毒?我想应该不得吧 现在哪个病毒这么生猛 BIOS一般都是只读不写的,要刷BIOS都很危险的,要主板厂家才有相应的刷新技术 我想应该不是那个问题 你再用排除法试试再说本回答被提问者采纳
第2个回答 2008-12-23
旧机器在相对它来说的新系统下出现硬件不能正常运行是正常的
以前就试过用P2的旧机装WINXP结果键盘鼠标都不能使用
还有 我必须提醒你
以你旧机器的配置来运行诸如WINXP 卡巴斯基这些东西
你的机器很快会死掉
我认为是你的硬件问题
是主板的问题
我认为有80%是
以前就试过用P2的旧机装WINXP结果键盘鼠标都不能使用
还有 我必须提醒你
以你旧机器的配置来运行诸如WINXP 卡巴斯基这些东西
你的机器很快会死掉
我认为是你的硬件问题
是主板的问题
我认为有80%是
第3个回答 2008-12-23
用分区魔术师来格式化就可以啦··方便快捷··一般网上下载的系统光盘都有这个软件的
第4个回答 2008-12-23
这不是bios病毒吧,下载360安全卫士扫描一下。360有自带多种专杀,
配合专杀使用,查杀效果更好
配合专杀使用,查杀效果更好
参考资料:360下载地址
