瑞星卡卡安全论坛
VOA2008 - 2007-6-16 11:05:00
第一部分:中CIH病毒全过程
2007年4月26日,我的电脑中了CIH病毒。
4月25日晚,看到“STTV网络电视2007 豪华版”在华军网站软件下载排行榜上竟然位列第14,只可惜是个共享版本。我想这应该是个不错的东东,应该网上会有注册机或注册码吧。找了几个注册码,试了一试,根本就不好用。网上说07版目前还没有被破解,但是有06年的破解版本。我想06的也凑合着用吧。在网上狂搜一阵,终于找到一个网站提供06破解版的。从7点一直下载到9点多,才艰难的把它下载完。在下载的过程中,瑞星监控提示有病毒,我将病毒删除。我当时想即使电脑中毒了,大不了GHOST一下就行了。然后安装破解版,安装过程中就有点不对劲了--------不断弹出小框框。坏了!!!!!!!!安装完软件,一看,根本就不是破解版本!!!!!!!!被这个没有道德的网站给骗了!!!!!!
还把电脑给害中毒了,很有必要GHOST一下。GHOST完之后,进入系统,系统提示“系统时间不符,要到控制面版的时间小程序里面修改”(大概是这么个意思)。我当时对这个也没怎么在意,因为我以前装的系统里面也有个“时间问题”----WIN32运行不正常(这是系统盘本身的BUG)。一看系统时间1990年4月25日,到控制面板里面改系统时间,结果那个1990年改不了,又去看“隐藏文件”,看不到!!!电脑还有病毒,我的第一反映-----病毒将GHOST的镜像破坏掉了。难道是病毒将隐藏文件全删除了,根据每个盘的大小与已显示文件的大小比较可以看出,隐藏文件还存在。于是我就用“搜索”果然搜到了隐藏文件。
然后我就用最新的瑞星版本在安全模式下杀毒,一个毒都没有!!!这时候已经将近晚上12点了。我想今晚是搞不定了,等明天再说吧。然后,瑞星安全模式杀毒,定时关机。
早上7点就起来了,打开电脑发现系统时间为1990年4月26日,还发现了新情况-----在E盘上点击右键---出现了"Auto",F盘也是"Auto",C盘D盘正常。这是百分之百中毒了!!!!
我于是把E盘的文件向D盘移,然后将D盘格式化!!不错!!果然E盘的"Auto"消失了!!!这时感觉电脑运行很慢,于是重起电脑。进入系统,仍然是那个提示-----“系统时间不符,要到控制面版的时间小程序里面修改”,D盘E盘F盘全有"Auto",这个病毒太猛了点吧!!于是我把电脑中重要的资料往U盘里面移。然后把D盘E盘F盘全快速格式化,然后再来一次普通格式化。点右键,除了C盘,其他盘全有"Auto"。然后将[font_size=0]电脑进入安全模式,将D盘E盘F盘格式化,仍然全有"Auto"。有点蒙了!!这是什么病毒啊,太厉害了吧!!!
我分析:重装完系统之后,可能是因为运行了电脑中的程序,DEF盘的病毒将C盘感染了;将DEF盘格式化之后,C盘将DEF盘感染。因此只有一招能解决--------重装系统之后,马上将DEF盘格式化。
按照这种方法试了一下!!!!没有作用,仍有"Auto"。我打开一个网页,慢啊!!!!一看任务管理器,60多个进程!!!!!我就打开一个网页就多出了40个进程,太夸张了吧!!!!
重启电脑,我又蒙了!!!!!系统刚进入DOS时就有个提示,大概意思是“为阻止您的电脑进一步被破坏,不允许进入WINDOWS界面。这是由于电脑由于硬件或软件发生严重的错误,导致重要的进程退出或结束。如果这是您第一次出现这种情况,请重新启动电脑,如果出现过多次,请与硬件商或专业维修人员联系............”!!!!!!!!!!!!
重装系统并且马上将非系统盘格式化,怎么可能还有病毒,见鬼了!!!!重装系统并且马上将非系统盘格式化后,硬盘、内存肯定没有病毒。我想,那只有一种可能----------主板的BIOS芯片有毒。它能被感染???
用同学的电脑到百度搜了一下,输入关键字“BIOS病毒”,果然被我猜中了就是这个病毒,一个在26号发作的病毒--------CIH !!!!!!!!!
不过搜索到的信息大多是几年前的信息。网上所谓的“新CIH”已经是前几年的事情了。用那个“新CIH”专杀对我的电脑杀毒,结果一个毒也没有杀出来!!!!!
然后分析:电脑硬件应该是没有问题的,我的电脑硬件全是名牌,并且这些硬件投入市场时间不短,已经证明相当稳定。网上说CIH可能会让主板硬件完蛋。我觉得我的华硕主板不应该那么脆弱,因为几年前,只有华硕的主板没有被那个低级版本的CIH感染。尽管现在CIH升级了,恐怕也没有本事把华硕主板硬件搞坏.
看样子靠软件杀毒是没有希望了(想了想,原因很简单————在进入WINDOWS之前,电脑的BIOS就中毒了,瑞星卡巴之类的软件顶多能把硬盘的毒杀了就不错了,现在的那些在WINDOWS下运行的软件哪有可能杀BIOS里面的毒啊)。
将BIOS恢复为出厂默认值不知能不能行????于是重装系统,重启动,将BIOS恢复为出厂默认值,然后将DEF盘格式化。结果-----DEF盘还有"Auto".看样子只有一条路了,把主板BIOS电池拔下来,放电,然后恢复出厂默认值,然后重装系统,然后在DEF盘上右键,看到了Auto,我有点纳闷了,然后修改系统时间,不成功,于是点格式化DEF盘,之后发现DEF盘仍有病毒。按照这个方法,仍然有病毒,我犯了一个错误,重装系统之后没有马上将DEF盘格式化,而是让电脑某些程序得以运行。于是,电池放电,然后恢复出厂默认值,然后重装系统,右键DEF盘发现有Auto,然后马上格式化DEF盘,然后重启电脑,为万无一失,马上到安全模式下格式化DEF盘。终于,成功了!!!!!!!
这时候已经接近晚上12点了!!!!!!
第二部分:看我如何搞定?
搞定CIH,可参考如下步骤(尽管我不知道我电脑上感染的是什么版本的CIH,我个人认为即使感染了别的版本的CIH如下做法仍值得一试):
1:重装系统(如果能进入系统的话,可直接从第2步开始)
2:将硬盘中重要文件转移到U盘或移动硬盘中,然后将非系统盘(DEF)全部格式化;
3:关机,断电源,将主板的BIOS供电电池取下,放电(放电步骤参照主板说明书),然后将电池安上;
4:重装系统,然后进入BIOS,将其设置为默认值
5:进入WINDOWS系统后,马上将非系统盘格式化,为确保万无一失,再安全模式下再次格式化非系统盘
6:如果运气好的话,病毒完全被杀掉!!!
注:第5步要马上
如何防CIH?
建议:在每月的26日和每年的12月25日的前一天,到CMOS里面修改系统时间。
关于CIH的资料(网站收集)
资料一:从1998年的4月26日开始,26日成为一个令电脑用户头痛又恐慌的日子,因为在那一天CIH病毒诞生了! 1999年4月26日,这个游荡在互联网和个人电脑间的黑色幽灵,在全球全面发作。这一天,对于中国电脑用户来说,无疑是个令人心悸的灾难日:开机、屏幕没有任何显示,只有死一般的沉寂。黑色幽灵第一次对中国用户发起了大规模的进攻。损失是惨重的,可以统计的经济损失以亿计算,对电脑用户的震动并因此而产生的对计算机病毒的恐惧感,着实让国内外的防病毒软件大大的火了一把。2000年的4月26日,即将来临,您准备好了么?
资料二:经历过上世纪末那场惊心动魄的病毒毁灭pc的人,对陈盈豪应该不陌生!正是这个人,在服役期间写出了让全世界pc软硬件厂商心惊胆战的CIH(也叫作切诺贝利)病毒,也让全世界的pc玩家闻风丧胆!
资料三:“CIH”,这3个单字曾经是令人闻之色变的计算机病毒名称缩写,在1998年6月开始被注意后,曾感染全球约6000万台电脑,还造成高达10亿美元的商业损失,更获选2006年7月Varbusiness前10大计算机病毒排行榜之中,而其作者就是当年就读于大同工学院的陈盈豪,现在的他则是集嘉通讯主任工程师,以研究操作系统核心为主,试图开发更符合人性的智能型手机系统。
资料四:据初步统计,来自台湾的CIH电脑病毒这次(1999年4月26日)共造成全球6000万台电脑瘫痪,其中韩国损失最为严重,共有30万台电脑中毒,占全球电脑总数的15%以上,损失更是高达两亿韩元以上.土耳其,孟加拉国,新加坡,马来西亚,俄罗斯,中国内地的电脑均惨遭CIH病毒的袭击.制造这场"电脑大屠杀"的是台湾现役军人,大学毕业生陈盈豪.CIH电脑病毒暴风雨后,有的把CIH的始作俑者抬长升为"天才",有的把他贬为"鬼才".
孤独更可靠 - 2007-6-16 11:14:00
BIOS里有毒?!
学习了```
现在BIOS基本上都加了病毒保护,不可能修改BIOS值吧
和CIH症状也不大一样
upperc - 2007-6-16 11:17:00
学习中。
newcenturymoon - 2007-6-16 11:19:00
汗一个 如果你真的中了CIH 你就根本不会这么轻松的干掉他
那个可是挂硬盘烧bios的东西
也是第一个破坏硬件的病毒
你那个只是改了个系统时间而已 最近很流行的木马
baohe - 2007-6-16 11:19:00
不知所云。
高度怀疑楼主是否见过真正得CIH。
VOA2008 - 2007-6-16 11:23:00
回复楼上:根据我中毒的时间来看,应该是CIH吧
孤独更可靠 - 2007-6-16 11:24:00
| 引用: |
【VOA2008的贴子】回复楼上:根据我中毒的时间来看,应该是CIH吧
……………… |
只能是巧合
VOA2008 - 2007-6-16 11:26:00
不会那么巧吧????
我感觉应该是CIH的变种吧?
newcenturymoon - 2007-6-16 11:26:00
对了 楼主 还记得那个下载你那个软件的网站麽 找找想要你得那个样本
VOA2008 - 2007-6-16 11:32:00
不记得了。
我当时下载的时候瑞星监控提示我网页有病毒。
下载速度超慢,我也没有在意。
安装软件时候,不断弹出框框。
我查了一下流量,下载那个软件耗费我差不多1G的流量
两个铁球 - 2007-6-16 11:32:00
VOA2008 - 2007-6-16 11:32:00
反正现在破解版的东西我是不敢安装了
两个铁球 - 2007-6-16 11:35:00
| 引用: |
【VOA2008的贴子】反正现在破解版的东西我是不敢安装了
……………… |
如果装有卡巴6,开启全部主动防御功能的条件下,偶什么都敢装。
VOA2008 - 2007-6-16 11:36:00
回10楼,
我一计算机的同学也说CIH很不常见了!
我中了那个毒之后,电脑打开一个网页就多出40个进程,紧接着死机。还轮不到杀毒软件说话!
中了这个毒,只能说我运气太好了,折磨啊!
六翼刺猬 - 2007-6-16 11:37:00
1。现在的BIOS默认是锁住的,病毒是无法写入的;
2。刚安装完系统,补丁应该是没有打的吧,楼主那时是否出于联网状态(局域网也算)?
华师稀饭 - 2007-6-16 11:38:00
LZ是高手,我说你是sb,mj说我没素质,我错了.鉴定完毕
VOA2008 - 2007-6-16 11:43:00
回12楼:但我习惯用瑞星,看着舒服,用着顺手!!
卡巴估计不好使。
主动防御???
这个病毒25号不发作。不发作,还防什么啊?
等到26号。只有启动电脑,就中毒(也就是说卡巴还没运行呢)
VOA2008 - 2007-6-16 11:49:00
还是习惯用瑞星,看着舒服,用着顺手!
估计卡巴也不好使。
这个病毒25号不发作。病毒不发作,你防谁?
等到26号,一启动电脑就已经中毒了(还没进入系统就中毒)
,杀毒软件应该进入系统之后才能运行吧?
不知道我说的对不对?
VOA2008 - 2007-6-16 11:58:00
回14楼:我听说只要是能升级的BIOS就可能中毒的.
可能是我遇到的这个CIH(可能是cih)版本超高吧
我不明白你第二条说的什么意思?(因为对付这个毒,仅仅重装系统不好使)
newcenturymoon - 2007-6-16 11:59:00
根本不是 CIH ...
两个铁球 - 2007-6-16 12:00:00
| 引用: |
【VOA2008的贴子】还是习惯用瑞星,看着舒服,用着顺手!
估计卡巴也不好使。
这个病毒25号不发作。病毒不发作,你防谁?
等到26号,一启动电脑就已经中毒了(还没进入系统就中毒)
,杀毒软件应该进入系统之后才能运行吧?
不知道我说的对不对?
……………… |
别人问你:你的系统补丁打全了吗?如果补丁是全的,大慨对付那些过时的老的、狠的病毒,是无需任何杀软参与的。补丁不全的系统,再好的杀软,作用也有限。综合上面各楼,表达的要义就是这点。不要眼睛全盯在杀软上。
VOA2008 - 2007-6-16 12:08:00
回楼上:
楼上说“不要眼睛全盯在杀软上”是什么意思?????
你的意思是说我认为瑞星不好么?
错!!!我认为瑞星很不错的。我是瑞星的坚定拥护者啊!!
我的补丁是全的。
但我的xp系统是盗版的,杀毒软件也是盗版的。
天月来了 - 2007-6-16 12:43:00
什么啊???????
我发觉,楼主始终都是在重装系统,进入新系统,才去格盘。而且到最后才说,是立即格盘才有用。
我就不明白了,你格盘,就不能在安装系统时,重新分区格吗?????
可惜你那无数次格盘了。
关于各磁盘右键出现“auto”这类的病毒,我在这都无数次说过了,只要重装系统,就可以轻松的处理。
可以在新系统安装完毕,进入的第一次,绝不使用原机任何文件,绝不打开任何磁盘,绝不使用U盘。
然后直接去网上的自己的邮箱里下载先备份上传的解压缩工具WinRAR,下载到桌面,安装后,立即用WinRAR打开各个磁盘,手工在WinRAR中删除各盘根目录下的文件:
Autorun.inf及Autorun.inf内容所指向的文件。
然后安装并升级杀软至最新版本,全盘杀毒。
至于U盘,可以在插入电脑前,按住“Shift”键不放手,直至系统检测完毕.
再用WinRAR打开U盘,删除根目录下的同样文件,就可以了。但是里面的所有文件,也得再彻底杀毒。
如果做到这个,没不行的。
当然这个只限于重装新系统或GHOST还原的。
我就想不通,你为什么在安装系统和进入以后非得去操作磁盘或使用原机部分文件。
目前最好、最容易的就是利用WinRAR删除根目录的文件。(只限于重装新系统)
VOA2008 - 2007-6-16 12:56:00
【回复“天月来了”的帖子】
中了这个毒,即使换个新硬盘再重装系统也没用吧。
杀毒的关键在于刷BIOS。
另:我觉得不要尝试重新分区。
例如:有时误删了有用的东西,即使你将硬盘格式化了,也有可能将其还原回来。
但是如果重新分区的话,还原回来的可能性就几乎为0了
天月来了 - 2007-6-16 12:58:00
第二部分:看我如何搞定?
搞定CIH,可参考如下步骤(尽管我不知道我电脑上感染的是什么版本的CIH,我个人认为即使感染了别的版本的CIH如下做法仍值得一试):
1:重装系统(如果能进入系统的话,可直接从第2步开始)
2:将硬盘中重要文件转移到U盘或移动硬盘中,然后将非系统盘(DEF)全部格式化;
3:关机,断电源,将主板的BIOS供电电池取下,放电(放电步骤参照主板说明书),然后将电池安上;
4:重装系统,然后进入BIOS,将其设置为默认值
5:进入WINDOWS系统后,马上将非系统盘格式化,为确保万无一失,再安全模式下再次格式化非系统盘
6:如果运气好的话,病毒完全被杀掉!!!
注:第5步要马上
楼主说的这个第二部分,对于这类各磁盘右键出现“auto”的病毒(楼主这根本不是CIH),
1、重装系统-------正确。
2、将硬盘中重要文件转移到U盘或移动硬盘中,然后将非系统盘(DEF)全部格式化;-------错误(一旦打开磁盘操作,就系统感染病毒,接下来格盘无用)
3:关机,断电源,将主板的BIOS供电电池取下,放电(放电步骤参照主板说明书),然后将电池安上;--------可以,(但是与病毒无关,只是清除上一系统的一些硬件信息在BIOS的注入而已)
4:重装系统,然后进入BIOS,将其设置为默认值--------无所谓,(既然做了3,都已经还原为默认了,还去默认干嘛)
5:进入WINDOWS系统后,马上将非系统盘格式化,为确保万无一失,再安全模式下再次格式化非系统盘----------不需要(既然要全格,那就干脆装系统是,让系统安装光盘为你全格或重新分区得了)
6:如果运气好的话,病毒完全被杀掉!!! -------谈不上运气(只要严格按照我说的做,对于这类靠磁盘的自动播放来搞搞的病毒,没啥可恼的)
天月来了 - 2007-6-16 13:03:00
| 引用: |
【VOA2008的贴子】【回复“天月来了”的帖子】
中了这个毒,即使换个新硬盘再重装系统也没用吧。
杀毒的关键在于刷BIOS。
另:我觉得不要尝试重新分区。
例如:有时误删了有用的东西,即使你将硬盘格式化了,也有可能将其还原回来。
但是如果重新分区的话,还原回来的可能性就几乎为0了
……………… |
如果是你说的CIH啥的病毒,呵呵!!!!!!!!!
哪还有你的这些开始做的那些事的机会。
你既然要全格,还还原干嘛????
VOA2008 - 2007-6-16 13:19:00
【回复“天月来了”的帖子】
果然登峰造极,学习了!
那么如果你电脑中了这个病毒,你会怎么处理?
请列一下详细步骤吧
另:假设你电脑D盘有非常重要的文件。
谢谢!!!
�火影忍者 - 2007-6-16 13:32:00
| 引用: |
【VOA2008的贴子】【回复“天月来了”的帖子】
果然登峰造极,学习了!
那么如果你电脑中了这个病毒,你会怎么处理?
请列一下详细步骤吧
另:假设你电脑D盘有非常重要的文件。
谢谢!!!
……………… |
冰刃删除病毒文件即可.!
VOA2008 - 2007-6-16 17:43:00
有几个人说中的毒不是CIH。
不是CIH,有什么根据啊???
VOA2008 - 2007-6-17 19:48:00
26号发作--------CIH
© 2000 - 2026 Rising Corp. Ltd.
