CIH病毒发作之后
 
CIH病毒的特点

　　CIH病毒是一种恶性的文件型病毒，它感染Windows 9x的可执行文件，由于病毒编制者使用了VxD技术，因此CIH病毒传播起来很隐蔽。另外，不少盗版光盘上都带有CIH病毒，这些光盘和Internet网大大加快了CIH病毒的传播速度，国内感染CIH病毒的机器数量大得惊人。目前已确认CIH病毒至少有九个变种，其中常见的v1.2和v1.3的发作日期为4月26日，v1.4发作日期为每月26日，还有的版本发作日期为6月26日。
拯救硬盘数据

　　由于CIH病毒必须在进入Windows 9x系统后才能发作，它乱写硬盘的操作可能很快导致系统死机，用户在察觉系统导常时也会迅速关机，所以多数情况下只有硬盘最前面的也是最重要的一部分数据被覆盖了，而其它数据并未遭到破坏，这就为恢复硬盘上部分数据提供了可能。一般来说，原来的C盘基本上无法恢复，而D、E、F等盘基本上能恢复。
　　方法一：由于许多用户没有备份主引导扇区的习惯（尽管KV300、NDD等工具软件有此功能），故只能设法找到与你的硬盘完全相同（型号、分区情况等）的另一个硬盘。然后使用KV300的“KV300/B”命令（主引导扇区备份），将这个硬盘的主引导扇区备份出来。用DOS启动盘引导你的系统，再用KV300的“KV300/K”命令（主引导扇区恢复），将前面备份的主引导扇区恢复至你的硬盘。恢复后可以试着向硬盘传送系统文件，如果传送成功，且硬盘能够引导，说明故障排除。
　　使用以上方法的关键是找到完全相同的另一个硬盘，否则就不能使用。若你的硬盘中有重要的数据，你还可以造一个主引导扇区。即借一个和你的硬盘一样的新硬盘，按相同原则分区。用KV300将引导扇区备份出来，再恢复到损坏的硬盘中。
　　方法二：如果不具备以上条件，对于经验较少的朋友来说，恢复D、E、F等盘的另一种方法是使用KV300的F10功能来重建硬盘分区表，该功能能够自动查找硬盘的扩展分区表，并把它链回到主引导扇区中，从而恢复D、E、F等分区，不过，该方法在某些时候可能无效，恢复出来的分区并不一定正确。
　　方法三：把硬盘取下来作为从盘挂到其它机器中，运行最新版的Norton Disk Doctor或其它硬盘修复工具，也能查找到丢失的扩展分区。
　　方法四：采用重写主引导扇区的方法，此法可能会丢失硬盘中的数据，只能在万不得已时使用。方法是：用DOS启动盘引导你的系统，加参数“/MBR”运行FDISK（即运行“FDISK /MBR”），此时FDISK会重写主引导扇区(由于/MBR是个比较危险的参数，微软未将其公开）。应注意不要在多于四个分区的硬盘上使用，也不要在安装了System Commander等多操作系统管理软件的硬盘上使用。
　　 方法五：对于经验丰富的朋友来说，如果前面的方法不奏效，还可以使用Norton Utilities 8.0的DiskEdit磁盘编辑工具来手工查找和修复分区表，具体步骤如下：
　　1. 从软盘启动机器，运行FDISK /MBR命令重建一个空的分区表。
　　2. 运行拷贝到软盘上的DiskEdit，选择第一物理硬盘，显示硬盘上的所有扇区。
　　3. 利用DiskEdit的“Find Object”功能搜索可能是分区表的扇区，人工判断搜索结果是否正确。
　　4. 记下搜索到的第一个扩展分区表的扇区所在位置，返回到硬盘的第一个扇区中，把显示方式切换至分区表形式，在第一个分区表项中填入原来C盘所在分区的类型、起始位置、终止位置、起始相对扇区和分区大小，在第二个分区表项中填入扩展分区的类型、起始位置、终止位置、起始相对扇区和分区大小，这些参数需要根据分区表的格式和含义由人工计算出来。
　　5. 修改好后存盘退出，重新启动机器，如果仍然不能访问原来的D、E、F等分区，则可能是因为计算有误，或者搜索结果不正确，如果是后一种情况则继续上面3～5步的操作。
　　注意：PNU8是一个16位工具软件，不支持FAT32文件系统。如果你对NU确实感兴趣，可使用NU3.0 for Windows95（98）及以上版本。
　　尽管CIH病毒发作之后C盘基本上无法恢复，但是我们仍有微弱的希望能够挽救回C盘上的部分文件，方法是使用Tiramisu数据恢复软件（可到http://www.paulgao.com.cn去下载），让它查找原C盘中丢失的目录结构，找到之后可以选择拷贝目录中的文件到其它分区或硬盘中。Tiramisu能否成功恢复文件的前提条件是该文件原来是连续存放在硬盘之中，否则恢复结果不正确，那些在C盘上保存有重要数据的朋友可以试试该方法。