关于冲击波的病毒主要有两种,下面是其主要表现及清除方法:
一、W32.Blaster.Worm
1.主要表现及特征:
? (1)计算机频繁重新启动;
? (2)C:\WINNT\System32下有msblast.exe这个文件;
? (3)系统工作不正常,无法进行复制、粘贴等操作;
? (4)IIS服务启动异常;
? (5)有大量对TCP 135端口的扫描;
2.感染的操作系统:
? Windows NT
? Windows 2000
? Windows XP
3.解决办法:
(一)手工删除的步骤
(1)打开任务管理器,停止以下进程 msblast.exe;
(2)删除C:\WINNT\System32下的msblast.exe文件;
(3)进入注册表(“开始->运行:regedit)
找到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
(4)给系统打补丁(否则很快被再次感染),可跟信息中心联系。
(二)利用杀毒软件解决
二、W32.Nachi(或Welchia).Worm
1.主要表现及特征:最重要的表现是使网络堵塞不能正常上网,本机发送大量的数据包
? (1)被感染机器中存在如下文件:
C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE
C:\WINNT\SYSTEM32\WINS\SVCHOST.EXE
? (2)发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用;
? (3)注册表中增加如下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
? (4)增加两项伪装系统服务:
Network Connection Sharing
WINS Client
? (5)监听TFTP端口(69),以及一个随机端口(常见为707);
? (6)大量对135端口的扫描。
2.感染的操作系统:
? Windows NT
? Windows 2000
? Windows XP
3.解决办法:
(一)手工删除方法一:
(1)将计算机系统日期调整为2004年;
(2)重新启动计算机;
(3)安装系统补丁即可。
(二)手工删除方法二:
(1)停止如下两项服务(开始->程序->管理工具->服务):
WINS Client
Network Connections Sharing
(2)检查、并删除文件:
C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE
C:\WINNT\\SYSTEM32\WINS\SVCHOST.EXE
(3)进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
(4)给系统打补丁(否则很快被再次感染)
一、 使用启动盘,在DOS环境下清除病毒。
1. 当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、 进入安全模式,手工清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
