剿杀CIH 陈全 1999年 第17期 10版 #1 KILL98防杀CIH病毒 KILL98是北京金辰公司和世界著名的软件公司CA合作开发的防杀毒工具,该工具是一款设计先进、查杀病毒广泛、在Windows环境下可以实时监测病毒的杀毒软件,是目前国内具有世界先进水平的防毒软件。下面,针对CIH病毒的特点,介绍如何使用KILL98来防杀这种Windows恶性病毒。 #1 1.实时监测病毒 KILL98采用国际上先进的实时病毒监测技术,在安装好程序后,重新启动系统,KILL98即随系统启动而启动,并驻留内存,实时扫描系统中将要运行的程序,并监视内存中是否有病毒在活动。当发现内存中有病毒活动,KILL98即刻报警,并给出病毒处理提示信息。要设置KILL实时监测病毒,可以在开始菜单的程序组中启动KILL98,点击界面中的“选项”按钮(如^171001a^),在“实时监测器”标签中勾选“在系统启动时初始化实时监视器”。由于CIH病毒传播速度快,传播范围大,特别是网络的普及和压缩文件的流行,使CIH病毒的传播广度和隐藏深度都是前所未有的,因此,实时地监测病毒是防止CIH病毒发作的最有效途径。要查看和设置KILL98的实时监视器,可以点击系统状态栏中的KILL图标,在弹出的窗口中选择“文件/选项”来设置实时监测器。 #1 2.Windows环境反病毒技术 由于DOS环境和Windows环境的巨大差别,在Windows环境中使用DOS病毒工具实时查杀病毒存在很多困难,因此在Windows环境下的防病毒是防病毒工具的发展的方向。KILL98采用32位内核、VxD虚拟设备驱动机制与Windows的无缝连接等技术,使得KILL98基于Windows的实时病毒监测得以实现。CIH这类病毒专门感染Win95/98系统,并且使用了VxD技术,由于KILL98采用了Windwos环境的实时反病毒技术,在防治CIH病毒方面有很大的主动性。 #1 3.扫描压缩文件 KILL98在扫描病毒时,可以将ZIP、CAB、ARJ等压缩包中的文件进行临时解压,然后检查压缩包中的文件是否带有病毒,如果压缩包中的文件带有病毒,则提示你对压缩包中的病毒做出处理。CIH病毒变种很多,传播广泛,压缩包是它们的最安全的藏身之地。因此,只有实时监测和彻底杀灭压缩包中的CIH病毒,才可能防备病毒的死灰复燃。要设置KILL98查杀压缩包中的病毒,点击界面中的“选项”按钮,在“扫描”标签中勾选“扫描压缩文件内部”,点击旁边的“细节”按钮,可以编辑选择要扫描的压缩文件类型。 #1 4.更新病毒特征文件 现在病毒的传播和更新的速度很快。一个反病毒工具还必须提供杀灭最新病毒的能力,KILL98采用每月更新一次的病毒特征文件来防备新出现的病毒可能对用户造成的危害。病毒特征文件最简单的更新方法是在KILL98的主界面中选择“更新”按钮,程序自动连接到Internet网络下载更新文件。当然,直接到KILL98的主页网址http://www.kill.com.cn下载最新的更新文件并执行也可以。对于CIH病毒要注意的是,必须使用KILL病毒引擎4.12以上的版本,可以点击程序界面中的“病毒大全”按钮,在病毒列表框下查看当前程序的病毒引擎和病毒特征代码库的版本号。注意:有些反病毒软件或KILL98的4.13以前的老版本在清除文件中的CIH病毒时,会在文件中遗留一些无效的病毒代码。KILL98扫描时会报告发现[Not a virus-Win95.CIH rests]病毒。一般可以不处理。如果使用KILL98 V4.14以上版本,可以使用“评论试扫描”方式来处理(在“选项/扫描”的标签窗口中选取)。 #1 5.急救盘杀毒 有时Win95系统正在使用一些可执行文件,这些文件感染了病毒是无法立即对它进行清除的,或者系统被破坏,不能进入Win95系统中启动KILL98杀灭病毒。这时可以使用KILL98的应急磁盘启动,然后使用KILL子目录中(缺省目录在:C:\Progam Files\Computer Associates\KILL)的killcmd程序进行扫描、清除(该程序应急盘中也有)。程序的命令形式可以用killcmd c:\ /cur。制作KILL98的应急磁盘可以在程序主界面选择“急救”按钮,然后按提示操作即可。制作和更新应急磁盘对于恢复系统非常重要。 #1 6.使用KILL98试用版 对于广大电脑用户,可以使用KILL98的试用版来暂时防查CIH病毒。该试用版无法升级病毒特征数据文件,当然也没有技术支持,但可以通过试用来了解KILL98。下载地址:http://www.kill.com.cn。 #1 免疫CIH病毒 一针搞定 原理篇:什么,计算机病毒也有疫苗?是的,所谓CIH病毒疫苗其实也是一种软件。根据CIH病毒的感染机理,CIH病毒在驻留内存感染文件前,会判断内存中的DR0寄存器是否有它做的一个记号。如果没有,病毒会驻留并给DR0寄存器做一个记号;如果有记号,CIH病毒不驻留也不感染。而CIH病毒疫苗就是一个欺骗程序,程序安装后,每次开机,系统就会立刻自动执行疫苗程序(C:\Windows\CIH.EXE)在DR0寄存器做一个记号,让真正的CIH病毒不驻留也不感染,当然也不会发作。 安装篇:安装前,必须回到纯DOS,把CIH病毒杀干净。再回到Win95/98,然后执行Setup.exe进行安装。安装后程序会自动重新启动。这时你的电脑已经对CIH有免疫力了,只要不重装Windows,CIH病毒永远和你的电脑无缘。 麻烦篇:CIH病毒疫苗并没有杀掉文件中的CIH病毒,因此当感染了CIH病毒的文件在没有安装CIH病毒疫苗的机器里仍然会发作。如果你重装了Win98,这个疫苗也需要重装。 真言篇:CIH病毒疫苗并没有给你真正杀掉病毒,所以最好还是找一个杀毒软件。CIH病毒疫苗只能算是一个权宜之计,它的下载地址:http://www.paulgao.com.cn/softhtml/antivirus.htm。 #1 Kill_CIH杀灭内存中的CIH病毒 KILL_CIH是Symantec研制的检测CIH病毒软件,大小为24KB,属于自由软件,完全免费使用,运行环境为Win95/98。 该程序可以十分简洁迅速地“关闭”受CIH病毒侵袭的计算机内存中所有的CIH病毒感染进程。KILL_CIH并不会从文件中检测或清除W95.CIH病毒,它只会使内存中的病毒失效,令一个反病毒程序清除病毒的感染而不会将病毒扩散,即可以使用户在杀毒前不必先用干净的系统盘重新启动计算机。 KILL_CIH这个工具本身已设计成可以避免病毒感染并安全地运行,即使病毒已经驻留在电脑中。运行KILL_CIH.EXE程序不需要命令行参数,它会在完成时根据不同的检查结果而显示不同的信息,如最常见的信息就是“The W95.CIH virus was not found in memory”(在内存中没有找到W95.CIH病毒)。 如果你的机器已经感染了CIH病毒,并且准备更新你的反病毒库或扫描系统之前,请首先运行工具KILL_CIH。这样,你就可以放心地升级你的病毒库文件并扫描你的机器。 1998年《电脑报配套光盘之PC世界》第3期收录了该软件或到网站http://www.Symantec.com下载。 #1 用SFscan查杀CIH病毒 Sfscan软件对扫描和移除CIH病毒特别有用。该软件大小为15.7KB,属自由软件,免费使用。在扫描和移除CIH病毒前,最好使用一张干净的引导盘重新启动机器,然后再运行Sfscan。它可以识别三种CIH变种,并都当作“SPACEFILLER”来处理,可从文件头中正确地移除病毒。 用法:SFScan [-s] [-a] [-c]《Dir/File Name》 其中:“Dir/File Name”为需扫描的目录或文件名。 -s:包括子目录在内; -a:扫描当前目录或指定目录的所有文件; -c:清除所有被感染文件的病毒。 例如:执行命令:SFScan -s -c C:\tools出现以下信息: c:\tools\MyFile.exe is infected Virus removed from c:\tools\MyFile.exe 7 file(s) processed 1 file(s) infected 1 file(s) cleaned 表示共扫描7个文件,其中c:\tools\目录下的MyFile.exe文件被CIH病毒感染,程序已将这个文件中的CIH病毒已被清除。如果该目录下没有文件被感染,则会出现“0file(s) infected”和“0 file(s) cleaned”样的字符。 该软件在1998年《电脑报配套光盘之PC世界》第3期可以找到。也可到网址http;//home.jxdcb.net.cn/~newhua/file/sscan250b.zip下载。 #1 CIH终结者2.0 “CIH终结者2.0”是建筑在Win95上防、杀CIH病毒的防火墙,即一个用于防、查、杀CIH病毒的独立杀毒工具软件,目前2.00版可查杀新出现的五种CIH变种,同时具有预警CIH变种的能力。下载网址http://www.keenvim.com/。 下载程序压缩包解压后,运行其中的Setup.exe文件安装。安装完毕后再次启动计算机,“CIH终结者”即随系统的启动自动载入,并开始监视整个系统。 也可以点击“开始/程序/CIH终结者”项运行该程序,这时会有手动清毒和自动监视两种运行方式。手动清毒方式与传统的查毒方式一样,只需要指定查毒路径。“CIH终结者”将对指定路径中的文件进行一次彻底清毒处理。如果选择了自动监视方式(选择菜单上的“监控程序”),“CIH终结者”会驻留内存并自动进入监控状态。 如果系统中没有感染CIH病毒,只要使“CIH终结者”处在自动监视方式,其他外来的程序如果带有CIH病毒,程序会报告并自动清除。但如果系统中已经感染了CIH病毒,在Win95/Win98下由于有几个核心文件处于运行状态无法杀掉。这时需要重新启动机器,按F8键选择命令行模式进入DOS界面,在“CIH终结者”目录中运行cih-kill x:(x为盘符名),即可杀掉在Win95/Win98核心文件中的CIH病毒。 #1 硬盘主引导记录修复程序 当确定你的机器被CIH破坏后,死马当活马医,试试这个软件,它是专为修复被CIH破坏的硬盘而推出的小工具。原理是通过全盘搜索,决定硬盘分区,并重新构造主引导扇区。由于软件只修改主引导扇区记录,对其他扇区不进行写操作,故不会有什么不安全。当然它的修复可能不理想,但终究可以带来一点希望。下载网址:http://www.joyo.com。