今天凡太百科給各位分享cih病毒的知識，其中也會對cih病毒屬于什么類型進行解釋，如果能碰巧解決你現在面臨的問題，別忘了關注本站，現在開始吧！

什么是CIH病毒

CIH病毒屬于文件型病毒，CIH病毒發(fā)作時硬盤數據、硬盤主引導記錄、系統(tǒng)引導扇區(qū)、文件分配表被覆蓋，造成硬盤數據特別是C盤數據丟失，并破壞部分類型的主板上的Flash

BIOS導致計算機無法使用，是一種既破壞軟件又破壞硬件的惡性病毒。

電子計算機中了CIH病毒，應該如果解決，CIH病毒有什么弱點？

該病毒感染Windows 95和Windows 98的EXE文件。一旦被感染的文件執(zhí)行，病毒常駐內存，并在目標文件中尋找未被利用的空間，并把自身添加到其中，被感染文件的長度增長幾乎是不可見的。

病毒具有嚴重的破壞性，一旦感染發(fā)生，病毒覆蓋計算機硬盤上的大部分數據。病毒也掛起IFS（可安裝文件系統(tǒng)），這是它能夠感染任意的可執(zhí)行文件（如.EXE），它一對破壞性的有效載荷用以在某月的26日。在觸發(fā)日期，病毒嘗試用隨機的數據重寫系統(tǒng)硬盤，進行數據恢復是十分困難的。它也是同通過破壞Flash BIOS的數據存儲對系統(tǒng)進行永久性的破壞。

但該病毒在Windows NT下不工作。

CIH病毒到底是什么病毒

CIH病毒

是迄今為止發(fā)現的最陰險的病毒之一。 它發(fā)作時不僅破壞硬盤的引導區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)flashBIOS芯片中的系統(tǒng)程序，導致主板損壞。CIH病毒是發(fā)現的首例直接破壞計算機系統(tǒng)硬件的病毒。

該病毒每月25日發(fā)作，發(fā)作時破壞計算機硬盤存儲器中的數據和計算機中的BIOS程序，造成開機一片黑暗。

一、CIH到底是什么病毒

CIH病毒屬于文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染 Windows95/98下的可執(zhí)行文件（PE格式，Portable Executable Format），目前的版本不感染DOS以及WIN 3.X（NE格式，Windows and OS/2 Windows 3.1 execution File Format）下的可執(zhí)行文件，并且在Win NT中無效。其發(fā)展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人并未實際接觸到這些所謂的CIH變種病毒。在v1.0、v1.1、v1.2、v1.3、v1.4五個版本，只有v1.2、v1.3、v1.4這三個版本的CIH病毒有實際的破壞性。其中v1.2版本只在每年的4月26日發(fā)作，又稱為切爾諾貝利病毒（前蘇聯核事故紀念日）；v1.3的發(fā)作日期是每年的6月26日；v1.4版本的發(fā)作日期是每月的 26。CIH病毒只在Windows 95/98環(huán)境下感染發(fā)作，當運行了帶毒的程序后，CIH病毒駐留內存，再運行其它.exe文件時，首先在文件中搜索“caves”字符，如果沒有發(fā)現就立即傳染。CIH病毒發(fā)作時硬盤數據、硬盤主引導記錄、系統(tǒng)引導扇區(qū)、文件分配表被覆蓋，造成硬盤數據特別是C盤數據丟失，并破壞部分類型的主板上的 Flash BIOS導致計算機無法使用，是一種既破壞軟件又破壞硬件的惡性病毒。

cih病毒的類型為

CIH病毒屬文件型病毒，殺傷力極強，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執(zhí)行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執(zhí)行文件，并且在Win NT中無效.

cih病毒是一種能夠破壞計算機系統(tǒng)硬件的惡性病毒。據目前掌握的材料來看，這個病毒產自臺灣，最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播，隨后進一步通過internet傳播到全世界各個角落。

電腦中了CIH病毒怎么辦

1. 電腦中了CIH病毒了,怎么辦

首先用戶應該確定自己計算機主板的BIOS是那種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設置即可。如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發(fā)作的癥狀，不要重新啟動計算機從C盤引導系統(tǒng)，而應該及時進入CMOS設置程序，將系統(tǒng)引導盤設置為a盤然后A 盤引導系統(tǒng)，之后用殺毒軟件對系統(tǒng)軟件造成破壞后該怎樣辦呢？首先使用殺毒軟件對硬盤進行徹底殺毒，之后再對系統(tǒng)軟件和應用軟件進行重新安裝?？梢栽诒?CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬盤空間的浪費，因為這將帶來一些垃圾文件；另一種方法是將用戶的重要數據進行備分，之后對硬盤進行格式化，重新安裝系統(tǒng)程序和應用程序，這樣能節(jié)省硬盤空間。

電腦中了CIH病毒了，怎么辦？

2. 電腦中了CIH病毒該怎么辦

首先用戶應該確定自己計算機主板的BIOS是那種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設置即可。

如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發(fā)作的癥狀，不要重新啟動計算機從C盤引導系統(tǒng)，而應該及時進入CMOS設置程序，將系統(tǒng)引導盤設置為a盤然后A 盤引導系統(tǒng)，之后用殺毒軟件對系統(tǒng)軟件造成破壞后該怎樣辦呢？首先使用殺毒軟件對硬盤進行徹底殺毒，之后再對系統(tǒng)軟件和應用軟件進行重新安裝。

可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬盤空間的浪費，因為這將帶來一些垃圾文件；另一種方法是將用戶的重要數據進行備分，之后對硬盤進行格式化，重新安裝系統(tǒng)程序和應用程序，這樣能節(jié)省硬盤空間。

3. 電腦中了CIH,怎么辦好

CIH 病毒發(fā)作時通常表現為：打開電腦就黑屏，甚至有些朋友丟失了硬盤中的數據，硬盤也遭到破壞。

遭遇CIH之后，丟失的數據和損壞的硬盤很難恢復和修理，雖然有一些病毒廠家也提供了修復硬盤的業(yè)務，但是相當多DIYer還是囊中羞澀，這個時候，大家可以嘗試使用下面的一些方法。 1.VRVFIX（下載地址： ftp:/pub/111/bd/vrvfix.z i p ）被CIH 病毒破壞的硬盤，其分區(qū)表已被改寫，用A 盤啟動也無法找到硬盤。

所以，要恢復C 分區(qū)的數據，首先要恢復硬盤分區(qū)表，VRVFIX 這款免費軟件或許能助您一臂之力。使用方法如下：準備一張沒有病毒的啟動盤，確保還有足夠剩余空間，打開寫保護，把下載的文件解壓縮，把VRVFIX.EXE 拷入該引導盤。

然后用這張引導盤引導感染了C I H 的電腦，并運行VRVFIX.EXE，按回車鍵開始計算分區(qū)信息并自動恢復。當出現提示時，按回車鍵，直到出現“MakePartition Table ok”。

2.Tiramisu（下載地址： /revive31.zip）試試。

使用也非常簡單，解壓縮安裝完畢，雙擊Revival.exe 運行，老鷹頭過后出現注冊畫面， 點擊“ 取消”， 出現如圖畫面。點擊“File/Open Drive”，選擇要恢復的盤，按“S E L E C T ”之后開始掃描，分析磁盤目錄結構，最后窗口中出現磁盤上所有的文件夾目錄。

其中，被刪除的文件夾用99310 之類的數字表示。如要恢復某一文件夾中的某一文件，首先雙擊該文件夾，進入該文件夾之后選定要恢復的文件，然后選擇File/Save，出現Save 窗口，如果要將恢復的文件放在軟盤上，則需在該窗口的Drive 中選A。

建議先用Tiramisu 恢復，然后再用Revival 重新掃蕩硬盤。 3.KV300設法找到與你的硬盤完全相同的另一個硬盤， 然后使用KV300 的“KV300/B”命令，將這個硬盤的主引導扇區(qū)備份出來。

用DOS 啟動盤引導系統(tǒng)，再用KV300 的“KV300/K”命令，將前面?zhèn)浞莸闹饕龑葏^(qū)恢復至你的硬盤?；謴秃罂梢栽囍蛴脖P傳系統(tǒng)。

如果傳送成功，且硬盤能夠引導，說明故障排除。使用KV300的F10 功能可以重建硬盤分區(qū)表，該功能能夠自動查找硬盤的擴展分區(qū)表，并把它鏈回到主引導扇區(qū)中，從而恢復D 、E 等分區(qū)。

不過，該方法在某些時候可能無效，恢復出來的分區(qū)并不一定正確。 4.瑞星的硬盤修復程序此程序包含兩個文件：ANTICIH.EXE（下載地址： /register/upgrade/Anticih.exe）和RAV.REC（下載地址： /register/upgrade/Rav.rec），專門用于對CIH 破壞的硬盤進行修復。

使用方法：將兩個文件拷到軟盤的同一路徑下，然后用無毒的軟盤啟動機器，運行ANTICIH.EXE，該程序將對硬盤進行掃描。掃描完成后，程序將給出提示，包括硬盤的大小（SIZE，單位為MB）、柱面數（CYLS）、磁頭數（HEAD）、每道扇區(qū)數（SECTOR）、找到的分區(qū)（Partition）和C 盤的格式（FAT16 或FAT32）等。

這時會要求你確認是否修復主引導記錄， 修復按“Y ”， 否則按“N ”。如果您按了“ Y ”， 程序將為您修復主引導記錄。

接著程序進一步提示：“Recover drive C:(Y/N ) ？ ”，如果要修復C 盤，按“Y ”即可。在修復過程中，如果您的C 盤是FAT16，而且破壞非常嚴重，則修復過程可能很長，可要耐心等待喲。

修復完成后，重啟系統(tǒng)即可。本程序只能修復第一硬盤，如果有多塊硬盤，需要將其他硬盤摘下，一塊一塊地修。

5.金山毒霸的硬盤修復工具金山毒霸的硬盤修復程序KAVFIX是用來修復被CIH 病毒破壞的硬盤的專用工具，支持FAT16 和FAT32 格式的硬盤分區(qū)。修復步驟：（1 ）在正常電腦上制作一張D O S 系統(tǒng)啟動盤， 將KAVFIX.EXE 復制到該軟盤上，然后用該系統(tǒng)盤啟動被病毒破壞的計算機。

（2）運行KAVFIX，會出現一步步的。

4. 我的電腦中了CIH病毒怎么辦

找專殺

找到注冊表 刪除

安全模式殺毒 清理 優(yōu)化 試試

我還建議你下一個NOD32殺軟 這個 世界排名第五免費升級 去 下載就好

然后在開啟360安全衛(wèi)士和防火墻（ *** 們不要復制我的答案！鵬鵬留）

最后再定時清理系統(tǒng)垃圾 用超級兔子就好

CPU很小 基本不影響速度（鵬鵬經過試驗，專供 *** 抄襲?。?

如有雷同 請樓主去我的回答中 自己看

希望對你有幫助

祝你開心 幸福

5. 電腦被CIH病毒破壞,無法開機

“CIH”這個魔鬼已經被我們認識，現在，幾乎所有的殺毒軟件都可以清殺它。

但是，萬一它已經發(fā)作，破壞了主板上的BIOS芯片，怎么辦呢？我有過的一次經歷，成功的修復了被CIH病毒破壞的主板，供大家參考： KV300交給朋友幫忙去升級，近期又經常上網，10月25日（星期天）晚上去學校前，對老爸千叮嚀萬囑咐：“明天千萬別開機！”誰知一星期后回家（10月30日），習慣性地打開電腦，內存檢測到4萬左右（我的內存是65536KB）時停了下來…… “壞了！”我心里一顫，“準是老爸不聽話，CIH發(fā)了?！闭氩鹣轮靼逯北贾嘘P村，忽然想起平時聽說的CIH的工作原理，知道毛病出自BIOS芯片，頂多換一個就成。

而且BIOS芯片在啟動后就不再起作用，于是想出了一種“貍貓換太子”的辦法。 說干就干，抓起电话，找到一個好朋友，他的機器是我裝的，配置與我的基本一樣，在我的指導下，不久他就揣著那片寶貴的BIOS芯片跳到我家。

換下BIOS芯片，開機，啟動正常，看到Windows/" target="_blank"Windows 98友好的界面后，塞入KV300（已經拿回來了 ）大殺特殺一遍，不愧是W++版，能夠清除CIH，在幾乎所有的.EXE文件中都抓出了CIH，“該死的制毒者！”我心里使勁罵。 按計劃實施，主板所附的光盤上有一個BIOS升級程序的樣例，做到珍藏多年的Dos6.22啟動盤上，原來設想只要復寫一下BIOS就應該好了。

次發(fā)作時間 關機，重新啟動。麻煩了，一時疏忽，設想到因BIOS被破壞，使主板的系統(tǒng)日期停在了10月 26日，CIH又發(fā)作了一次，兩個BIOS，需近300元?。?“拼了！”打电话找到另一個朋友，拿來第三個BIOS芯片，插在主板上，狂按“DEL”進入BIOS設定，將日期改為10月27日——離下 最長，先用KV300啟動，殺毒，系統(tǒng)很干凈，然后再用做好的BIOS升級程序盤啟動，摘下主板上的BIOS芯片，換上一個壞的，按主板說明進行升級程序，按提示進行……完成，再換上另一個壞的，重新運行升級程序……完成。

后續(xù)工作就好辦了，依次利用三個BIOS芯片啟動，按DEL進入初始化，調整好各項設置，記著小心日期，保存，Windows/" target="_blank"Windows 98啟動成功，一切運行基本正常。一個星期過去了，三臺機器（主要是BIOS芯片被破壞的兩個）都運行正常，沒有出現任何問題。

回想起來，整個過程中，第一次換下BIOS芯片時，沒有更改日期是一大失誤，致使第二片 BIOS芯片被破壞；根據CIH的特點，當時不應該啟動Windows/" target="_blank"Windows 98，應啟動DOS（因為CIH只攻擊 Windows 95/98的系統(tǒng)，在DOS系統(tǒng)下不會發(fā)生作用），殺毒后再啟動Windows/" target="_blank"Windows 98，取BIOS芯片的驅動程序，第二片BIOS芯片就不至于被破壞；改寫B(tài)IOS程序時采用的是DOS系統(tǒng)，CIH不會發(fā)作，插上第三片BIOS時，是否更改日期已經沒有影響。 另外，早期制作的DOS 6.22啟動盤這次立下大功，據我所知，大多數主板的BIOS升級程序都要求在DOS系統(tǒng)下運行，如果有條件，建議大家做好準備。

從這次經歷可以看出CIH對BIOS芯片的破壞僅限于將其中數據改寫，并不是燒毀BIOS芯片，一些報道中有些言過其實之處，如果有條件更換BIOS芯片，大可不必“談CIH色變”。

CIH是什么病毒？

CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執(zhí)行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執(zhí)行文件，并且在Win NT中無效。其發(fā)展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人并未實際接觸到這些所謂的CIH變種病毒。

CIH病毒的各種不同版本的隨時間的發(fā)展不斷完善，其基本發(fā)展歷程為：

CIH病毒v1.0版本：

最初的 V1.0版本僅僅只有 656字節(jié)，其雛形顯得比較簡單，與普通類型的病毒在結構上并無多大的改善，其最大的“賣點”是在于其是當時為數不多的、可感染Microsoft Windows PE類可執(zhí)行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本：

當其發(fā)展到v1.1版本時，病毒長度為796字節(jié)，此版本的CIH病毒具有可判斷Win NT軟件的功能，一旦判斷用戶運行的是Win NT，則不發(fā)生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優(yōu)化的代碼，以縮減其長度。此版本的CIH另外一個優(yōu)秀點在于其可以利用WIN PE類可執(zhí)行文件中的“空隙”，將自身根據需要分裂成幾個部分后，分別插入到PE類可執(zhí)行文件中，這樣做的優(yōu)點是在感染大部分WINPE類文件時，不會導致文件長度增加。

CIH病毒v1.2版本：

當其發(fā)展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003字節(jié)。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發(fā)作時間。v1.3版本的CIH病毒長度為1010字節(jié)。

CIH病毒v1.4版本：

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發(fā)作日期及病毒中的版權信息(版本信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019字節(jié)。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發(fā)作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發(fā)作日期為每年的6月26日，而CIH v1.4版本的發(fā)作日期則被修改為每月的26日，這一改變大大縮短了發(fā)作期限，增加了其的破壞性。

CIH病毒發(fā)作時所產生的破壞性：

CIH屬惡性病毒，當其發(fā)作條件成熟時，其將破壞硬盤數據，同時有可能破壞BIOS程序，其發(fā)作特征是：

1、以2048個扇區(qū)為單位，從硬盤主引導區(qū)開始依次往硬盤中寫入垃圾數據，直到硬盤數據被全部破壞為止。 最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息將被清除。

感染CIH病毒的特征：

由于流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執(zhí)行文件中的字符串來識別是否感染了CIH病毒，搜索的特征串為“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因為此特征串在很多的正常程序中也存在，例如程序中存在如下代碼行：

inc bx

dec cx

dec ax

則它們的特征碼正好是“CIH(0x43;0x49;0x48)”，容易產生誤判。

具體的搜索方法為：首先開啟“資源管理器”，選擇其中的菜單功能“工具查找文件或文件夾”，在彈出的“查找文件”設置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如：*.EXE)，然后在“高級包含文字”欄中輸入要查找的特征字符串--“CIH v”，最后點勸查找鍵”即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特征的可執(zhí)行文件，則表明您老的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那么這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下，推薦的方法是先運行一下“寫字板”軟件，然后使用上面的方法在“寫字板”軟件的可執(zhí)行程序Notepade.exe中搜索特征串，以判斷是否感染了CIH病毒。

另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的識別字符為“PE00”，然后查看其前一個字節(jié)是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最后一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。

還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光盤時出現死機現象， 本人沒有嘗試過，不知道實際上是不是有這一情況存在。

適合高級用戶使用的一個方法是直接搜索特征代碼，并將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，將這兩個特征串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特征字串，將其全部修改為90，即可（以上數值全部為16進制）。

另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接著將距此點偏移0x28處的4個字節(jié)值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為“CB 21 40 00”（OXOO4021CB），將此值減去OX40000，將得數--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最后將“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我們容易判斷病毒是否已經被殺除過。

按照上面手工殺毒的方法一般適合于某些單獨的軟件（例如某些軟件包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵?。?。使用上述方法的缺點在于病毒體還將保留在可執(zhí)行文件中，雖然不會起作用， 但是想起來可能會有點不舒服（記得“WPS2000測試版殘留CIH病毒尸體”的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟件進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟件進行殺毒，必須使用干凈的系統(tǒng)盤啟動計算機）。