论坛风格切换
 
  • 2858阅读
  • 18回复

[聊天说地]好消息,,, [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 使用道具 楼主  发表于: 2005-08-26
我们的会员《随风888》先生,现在正在搞抗毒救灾,据说是中的《冲击波》,症状;开机后不到一分钟马上就自动重启。当时因为在国外,没有维修电脑的师父帮忙,该同志大概还要郁闷两到三天。他给我打电话说,请家乡会的朋友们原谅。





  我希望他郁闷十天到半个月,那还差不多。呵呵。
[ 此贴被金城酷少在2005-08-26 00:28重新编辑 ]
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
只看该作者 沙发  发表于: 2005-08-26
关于冲击波的病毒主要有两种,下面是其主要表现及清除方法:

一、W32.Blaster.Worm

1.主要表现及特征:

? (1)计算机频繁重新启动;

? (2)C:\WINNT\System32下有msblast.exe这个文件;

? (3)系统工作不正常,无法进行复制、粘贴等操作;

? (4)IIS服务启动异常;

? (5)有大量对TCP 135端口的扫描;

2.感染的操作系统:

? Windows NT

? Windows 2000

? Windows XP

3.解决办法:

 (一)手工删除的步骤

  (1)打开任务管理器,停止以下进程 msblast.exe;

  (2)删除C:\WINNT\System32下的msblast.exe文件;

  (3)进入注册表(“开始->运行:regedit)

     找到键值:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

     在右边的栏目, 删除下面键值:

      "windows auto update"="msblast.exe"

  (4)给系统打补丁(否则很快被再次感染),可跟信息中心联系。

 (二)利用杀毒软件解决


二、W32.Nachi(或Welchia).Worm

1.主要表现及特征:最重要的表现是使网络堵塞不能正常上网,本机发送大量的数据包

? (1)被感染机器中存在如下文件:

      C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE

      C:\WINNT\SYSTEM32\WINS\SVCHOST.EXE

? (2)发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用;

? (3)注册表中增加如下子项:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

     RpcTftpd

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

     RpcPatch

? (4)增加两项伪装系统服务:

      Network Connection Sharing

      WINS Client

? (5)监听TFTP端口(69),以及一个随机端口(常见为707);

? (6)大量对135端口的扫描。

2.感染的操作系统:

? Windows NT

? Windows 2000

? Windows XP

3.解决办法:

 (一)手工删除方法一:

   (1)将计算机系统日期调整为2004年;

   (2)重新启动计算机;

   (3)安装系统补丁即可。

 (二)手工删除方法二:

   (1)停止如下两项服务(开始->程序->管理工具->服务):

      WINS Client

      Network Connections Sharing

   (2)检查、并删除文件:

      C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE

      C:\WINNT\\SYSTEM32\WINS\SVCHOST.EXE

   (3)进入注册表(“开始->运行:regedit),删除如下键值:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

      RpcTftpd

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

      RpcPatch

   (4)给系统打补丁(否则很快被再次感染)


一、 使用启动盘,在DOS环境下清除病毒。

1. 当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe

  二、 进入安全模式,手工清除病毒

  如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
只看该作者 板凳  发表于: 2005-08-26
冲击波(Worm.Blaster)专杀工具
附件: 冲击波(Worm.Blaster)专杀工具.rar (83 K) 下载次数:2
只看该作者 地板  发表于: 2005-08-26
谢谢你的好意。他现在郁闷的是,病毒根本就不给他时间下载转杀或者别的什么动作。直接就给重启了。
只看该作者 地下室  发表于: 2005-08-26
5555555555~~~~世上还是好人多啊555555555555555~~
谢谢各位 嘿嘿~~偶的战斗机涛生依旧拉
谢谢~~~~~
不过我还得问问1楼的朋友我用瑞星和你提供的冲击波专杀工具全面把系统查了一遍,什么都没有
嘿嘿~~还是家乡的网站好啊,病毒都怕,呵呵~~~
只看该作者 5楼 发表于: 2005-08-26
楼主啊~~~~
呵呵~~还说让我郁闷两三天
哈~这次不灵了吧
只看该作者 6楼 发表于: 2005-08-27
什么这次那次的,我要不是看你可怜,你小子现在还在望视兴叹哪,今天时间不多,忙了点别的事,明天上午来我着接我,去请我吃麦当劳。OK。

只看该作者 7楼 发表于: 2005-08-27
麦当劳
俺也想吃!!!!!!!!
快速回复
限100 字节
友情提醒:谢谢您的回复内容,这是对楼主者莫大的尊重。
 
上一个 下一个