Recuperando micros danificados pelo vírus CIH | Clube do Hardware Page 1 of 5

Recuperando micros danificados pelo vírus

CIH
Por Gabriel Torres e Cássio Lima em 20 de abril de 2005

O vírus CIH, também chamado de Chernobyl ou Spacefiller, é um dos vírus de computador

mais terríveis que já foram criados. Quando o micro está infectado por esse vírus, ele
simplesmente apaga o conteúdo da memória ROM (BIOS) do micro em sua data de ativação
(26 de abril), caso essa memória seja do tipo Flash ROM (o que é verdade para todos os
computadores vendidos hoje).

Como o BIOS é apagado pelo vírus, o micro não funciona mais, e provavelmente sua placa-
mãe será diagnosticada como "morta". Muitos técnicos de computadores que não sabem da
existência desse vírus simplesmente trocam a placa-mãe do micro atacado. Acontece que
existe solução para as placas-mãe que tiveram os seus BIOS apagados pelo vírus CIH: a
reprogramação do BIOS.

Portanto, se você é técnico, realize os procedimentos descritos nesse artigo antes de

diagnosticar uma placa-mãe como "morta". Muitas vezes a placa-mãe está funcionando
bem, mas está com o conteúdo do BIOS apagado, o que impede que ela inicie o processo de
boot.

O BIOS pode ser reprogramado usando um moderno programador de EPROM -a maioria dos
técnicos não possui essa ferramenta- ou usando a placa-mãe como programador de BIOS.
Iremos ensinar a você como isso pode ser feito.

O primeiro passo é fazer o download do programa de gravação e do arquivo com o conteúdo

do BIOS. Tanto o programa de gravação quanto o arquivo com o conteúdo do BIOS podem
ser encontrados no site do fabricante na Internet. Leia nosso artigo Como fazer um upgrade
de BIOS para mais detalhes sobre esse processo. Copie esses dois arquivos para um
disquete de boot (formatado com o comando Format a: /s).

Em seguida você precisará de uma placa-mãe idêntica a que teve o BIOS apagado pelo
vírus. Na verdade, a placa-mãe não precisa ser necessariamente igual, mas deve ser
compatível com o BIOS da placa-mãe afetada pelo vírus. Caso você tenha dúvida se a placa-
mãe que irá utilizar para reprogramar o BIOS é ou não compatível com o BIOS da placa-mãe
infectada, utilize uma placa-mãe idêntica.

O processo de reprogramação de um BIOS apagado consiste nos seguintes passos:

z Ligue o micro que está com a placa-mãe boa e dê boot através da unidade de disquete
utilizando o disquete formatado anteriormente e com os arquivos do BIOS que você
baixou da Internet.
z No prompt do DOS, remova o chip do BIOS bom e substitua pelo chip do BIOS
apagado (veremos mais sobre isso adiante). Sim, todo esse processo é feito com o
micro ligado.
z Rode o programa de gravação do BIOS e reprograme o BIOS apagado.
z Desligue o micro, remova o BIOS que você acabou de reprogramar e instale de volta o
BIOS original.
z Instale o BIOS reprogramado na placa-mãe "morta" e ligue-a.
z A placa-mãe com defeito deve estar funcionando agora.
z Rode o anti-vírus e o programa de recuperação de dados no disco rígido do micro
atacado, caso o mesmo tenha sido infectado.

Como você pode ver, o segundo passo é extremamente delicado. Se você não estiver
confiante para fazer essa tarefa, sugerimos que você realmente não faça. Nesse caso, a

http://www.clubedohardware.com.br/printpage/654 12/7/2007
Recuperando micros danificados pelo vírus CIH | Clube do Hardware Page 2 of 5

melhor coisa é pedir ajuda de um profissional experiente para fazer a reprogramação do

BIOS.

Nas próximas páginas mostraremos o processo de remoção e substituição do BIOS.

Removendo o BIOS

Para remover o chip do BIOS, você pode utilizar uma pequena chave de fenda, caso o
encapsulamento do BIOS da sua placa-mãe seja DIP (Dual in Parallel, veja na Figura 1). Se
o encapsulamento do BIOS for PLCC (Plastic Leaded Chip Carrier, veja na Figura 2), você
precisará de uma ferramenta de extração especial.

clique para ampliar

Figura 1: BIOS com encapsulamento DIP. Você pode utilizar uma pequena chave de fenda
para remover esse chip.

clique para ampliar

Figura 2: BIOS com encapsulamento PLCC. Para extrair esse chip você precisará de uma
ferramenta especial de extração.

http://www.clubedohardware.com.br/printpage/654 12/7/2007
Recuperando micros danificados pelo vírus CIH | Clube do Hardware Page 3 of 5

clique para ampliar

Figura 3: Ferramenta de extração de chips PLCC.

Preste atenção para não tocar em nenhuma parte metálica da placa-mãe com a chave de
fenda ou com a ferramenta de extração, especialmente em nenhum terminal da memória
ROM. Caso isso ocorra, você pode queimar a placa-mãe.

Para remover o chip com encapsulamento DIP, empurre levemente um lado de cada vez do
chip para cima, como mostrado nas figuras abaixo.

clique para ampliar

Figura 4: Levante um dos lados do chip levemente.

clique para ampliar

Figure 5: Agora levante o outro lado.

clique para ampliar

Figura 6: Remova o chip cuidadosamente.

http://www.clubedohardware.com.br/printpage/654 12/7/2007
Recuperando micros danificados pelo vírus CIH | Clube do Hardware Page 4 of 5

clique para ampliar

Figura 7: Pronto!

Quando for instalar o chip de volta preste atenção para não inserir o chip de maneira errada.
Falaremos mais sobre isso na próxima página.

Instalando o chip do BIOS

Tome cuidado para não instalar o BIOS na posição errada, ou você poderá queimá-lo
literalmente. Tanto o chip quanto o soquete tem uma marcação chamada "pino 1". Você
deve fazer com que o pino 1 do chip conhecida com o pino 1 do soquete.

clique para ampliar

Figura 8: Detalhe da marcação do pino 1 no chip e no soquete.

clique para ampliar

Figura 9: Outro exemplo de marcação do pino 1 no chip e no soquete.

http://www.clubedohardware.com.br/printpage/654 12/7/2007
Recuperando micros danificados pelo vírus CIH | Clube do Hardware Page 5 of 5

Chips com encapsulamento PLCC possuem um mecanismo de proteção (o lado do pino 1 é

"cortado") que impede que o chip seja instalado de forma errada no soquete.

Recuperando os dados

Após ressuscitar sua placa-mãe, você provavelmente precisará recuperar os dados do seu
disco rígido (o vírus pode ter apagado a partição e as FATs).

Para recuperar os dados do seu disco rígido, você precisará usar um programa de
recuperação de dados. De todos os programas que testamos, o melhor é o Fix-cih, que pode
ser baixado gratuitamente em http://www.grc.com/files/fix-cih.exe. Esse é um programa
pequeno e muito eficiente. Você precisará criar um disco de boot e copiar esse programa
para ele, e em seguida dar boot no micro com esse disquete. Obviamente, o disquete deve
ser formatado em um computador sem vírus e que esteja com pelo mesmo o Windows 98
instalado (se você formatar o disquete usando o DOS ou Windows 95, a partição FAT32 não
será reconhecida e você provavelmente não conseguirá recuperar seus dados). Rode o Fix-
cih e espere. O processo de recuperação pode levar algumas horas, dependendo da
capacidade do seu disco.

Após a recuperação dos dados, você terá de rodar um programa de anti-vírus para remover
o vírus, que provavelmente ainda pode estar armazenado no disco rígido. Recomendamos
que você utilize o anti-vírus cleancih, que pode ser encontrado em
http://www.pspl.com/download/cleancih.exe. O cleancih é um programa em DOS (tem
aproximadamente 20KB) e pode ser copiado para o disco de boot para ser executado logo
após a recuperação. Não tente dar boot pelo disco rígido, pois o mesmo ainda está infectado
e você não conseguirá remover o vírus.

Para dar boot através da unidade de disquete, você precisará entrar no setup do micro
(mantendo a tecla Del pressionada durante a contagem de memória quando você liga o
micro) e mudar a seqüência de boot para “Floppy”, “A:, C:” ou algo similar.

Após a realização de todos os passos descritos nesse artigo, sua placa-mãe estará
ressuscitada e os dados do seu disco rígido recuperados.

Originalmente em http://www.clubedohardware.com.br/artigos/654

http://www.clubedohardware.com.br/printpage/654 12/7/2007