本文发表在 rolia.net 枫下论坛电脑有以下症状的进来看看--1莫名其妙地死机或重新启动计算机 2IE浏览器不能正常地打开链接 3不能复制粘贴 4有时出现应用程序比如Word异常 5网络变慢 6最重要的是在任务管理器里有一个叫“msblast.exe”的进程在运行!--杀 杀 杀
提防“冲击波”病毒
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影响的系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产品,有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于难。
什么是RPC漏洞
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
通俗地说:利用这个漏洞,一个攻击者可以随意在远程计算机上执行任何指令!!!
被“冲击波”病毒感染的机器的特征
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
微软官方解答
问:该漏洞的范围有多大?
答:这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制。这可能使攻击者能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
要发动此类攻击,攻击者需要能够向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范来自 Internet 的远程 RPC 攻击的最佳方法是:将防火墙配置为封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。
问:此漏洞是由什么问题引起的?
答:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
问:什么是 DCOM?
答:分布式对象模型 (DCOM) 是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp
问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。
问:Microsoft 的“远程过程调用”(RPC) 实现过程存在什么问题?
答:RPC 中处理 TCP/IP 上的消息交换的部分存在一个缺陷。错误地处理格式不正确的消息会导致出现错误。这种特定的错误会影响底层的 DCOM 接口,此接口侦听 TCP/IP 端口 135。通过发送格式不正确的 RPC 消息,攻击者可以使一台计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:这是 RPC 终结点映射器中的缺陷吗?
答:不是。尽管 RPC 终结点映射器侦听 TCP 端口 135,此缺陷实际上出现在 RPC 过程中的低级别 DCOM 接口中。RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。终结点是服务器应用程序在其上侦听有无远程过程调用的协议端口或命名管道。客户端/服务器应用程序可以使用已知的端口或动态端口。
问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。
通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。
问:修补程序有什么用途?
答:修补程序修补此漏洞的方法是,修改 DCOM 接口,使之能够检查向它传递的信息。
解决方法
问:在我测试或评估此修补程序期间,是否有什么解决方法可用来防止利用此漏洞?
答:有。尽管 Microsoft 迫切希望所有客户尽早应用此修补程序,但在应用此程序之前,还是有许多解决方法可帮助阻止利用此漏洞。
须指出的是,这些解决方法仅是权宜之计,因为它们只是堵住了攻击途径,而没有从根本上消除漏洞。
以下几节旨在为您提供一些帮助计算机防范攻击的信息。每一节都介绍了一些解决方法,您可根据您的计算机配置灵活选用。
每一节都根据您需要的功能级别介绍可用的解决方法。
在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
Internet 连接防火墙。
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
Symantec Corp.--W32.Blaster.Worm 杀毒工具
移除工具的功能
「W32.Blaster.Worm 杀毒工具」会执行下列操作:
终止 W32.Blaster.Worm 病毒程序。
删除 W32.Blaster.Worm文件。
删除所安装的档案。
删除此蠕虫所加入的注册键值。
获得并运行此工具
--------------------------------------------------------------------------------
注意:
在 Windows 2000 或 Windows XP 上,需要具有管理权限才能运行此工具。
如果正在运行 MS Exchange 2000 Server,可能需要从命令行使用 Exclude 转换参数运行该工具,从而排除对 M 驱动器的扫描。不管是否进行此操作,在运行该工具之前都需要备份 M 驱动器上的所有数据。有关此要求为何必要的信息,请阅读 Microsoft 知识库文章:http://support.microsoft.com/default.aspx?scid=kb;en-us;299046。
--------------------------------------------------------------------------------
从以下位置下载 FixBlast.exe 文件:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
将该文件保存到方便的位置,如您的下载文件夹或 Windows 桌面(如果可能,保存到确认未感染病毒的可移动介质中)。
要检查数字签名的可靠性,请参考“数字签名”部分。
在运行此工具前,关闭所有正在运行的程序。
如果运行的是 Windows Me 或 XP,请禁用系统还原功能。有关其他详细信息,请参考“Windows XP 中的系统还原选项”部分。
--------------------------------------------------------------------------------
注意:如果运行的是 Windows XP,强烈建议不要跳过此步骤。如果未禁用 Windows Me/XP 系统还原功能,杀毒程序可能会失败,因为 Windows 禁止外部程序修改系统还原功能。
--------------------------------------------------------------------------------
双击 FixBlast.exe 文件以启动杀毒工具。
单击 Start 启动此进程,然后运行此工具。
--------------------------------------------------------------------------------
注意:运行此工具时,如果出现工具无法删除一个或多个文件的消息,请在安全模式下运行此工具。关闭计算机,关掉电源,然后等待 30 秒。以安全模式重新启动计算机,并再次运行此工具。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导,请参阅文档:如何以安全模式启动计算机。
--------------------------------------------------------------------------------
重新启动计算机。
再次运行此杀毒工具以确保系统是干净的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到 W32.Blaster.Worm 的感染。删除蠕虫后,程序将显示下列结果:
已扫描的文件总数。
已删除的文件数。
已终止的病毒进程数。
修复的注册键数。
金山毒霸--免费冲击波专杀工具
http://download01.duba.net/download/othertools//Duba_Sdbot.EXE
用户如果中招“冲击波” 该如何根除?
被“冲击波”病毒感染的机器,最常见的现象就是系统在启动1分钟后就反复重启,用户这时候根本就没有时间上网去下载专杀工具或打补丁,那该怎么办呢?告诉你一个办法,让你在一分钟之内搞定系统。用户在进行以下操作时,必须先将网络断开,以防止计算机重复感染。
一、使用启动盘,在DOS环境下清除病毒。
1. 当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、进入安全模式,手工清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
三、当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。
Windows2000简体中文版http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
WindowsXP简体中文版http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows2000英文版http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
WindowsXP英文版http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
说明:可能个别盗版Windows XP系统不能正常打上补丁,Windows 2000操作系统必须升级SP2以上版本才可安装补丁。
相关参考:http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
如果用户在手工清除完病毒后,在去上网下载补丁包时,计算机再次感染病毒并重启,这时就只能再次用手工清除该病毒,然后通过没感染该病毒的计算机下载相应的补丁,给系统打补丁,然后再做其它操作。
Q & A
我的机器是被攻击了吗?
1、莫名其妙地死机或重新启动计算机;2、IE浏览器不能正常地打开链接;3、不能复制粘贴;4、有时出现应用程序,比如Word异常;5、网络变慢;6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
以上这些情形,如果是最近两天才出现的现象,都很有可能是由于受到了“冲击波”病毒的攻击。尤其是第六条符合,那就肯定是已经被冲击波攻击成功了,必须立刻采取杀毒、打补丁的措施。
我打不开补丁的链接:
可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏里输入了;方法2、打开网络蚂蚁或网络快车,把上面的地址复制或输入到下载的任务里就行了。
我怎么知道我是不是已经打上了这个补丁?
根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这一项。
打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。
展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分别:
1、对于WindowsNT4.0:找到Updates,Windows NT,SP6,看看里面有没有kb823980
2、对于Windows2000:找到Updates,Windows 2000,SP5,看看里面有没有kb823980
3、对于WindowsXP:
找到Updates,Windows XP,SP1,看看里面有没有kb823980
4、对于WindowsXP SP1:找到Updates,Windows XP,SP2,看看里面有没有kb823980
如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。更多精彩文章及讨论,请光临枫下论坛 rolia.net
提防“冲击波”病毒
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影响的系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产品,有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于难。
什么是RPC漏洞
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
通俗地说:利用这个漏洞,一个攻击者可以随意在远程计算机上执行任何指令!!!
被“冲击波”病毒感染的机器的特征
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
微软官方解答
问:该漏洞的范围有多大?
答:这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制。这可能使攻击者能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
要发动此类攻击,攻击者需要能够向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范来自 Internet 的远程 RPC 攻击的最佳方法是:将防火墙配置为封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。
问:此漏洞是由什么问题引起的?
答:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
问:什么是 DCOM?
答:分布式对象模型 (DCOM) 是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp
问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。
问:Microsoft 的“远程过程调用”(RPC) 实现过程存在什么问题?
答:RPC 中处理 TCP/IP 上的消息交换的部分存在一个缺陷。错误地处理格式不正确的消息会导致出现错误。这种特定的错误会影响底层的 DCOM 接口,此接口侦听 TCP/IP 端口 135。通过发送格式不正确的 RPC 消息,攻击者可以使一台计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:这是 RPC 终结点映射器中的缺陷吗?
答:不是。尽管 RPC 终结点映射器侦听 TCP 端口 135,此缺陷实际上出现在 RPC 过程中的低级别 DCOM 接口中。RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。终结点是服务器应用程序在其上侦听有无远程过程调用的协议端口或命名管道。客户端/服务器应用程序可以使用已知的端口或动态端口。
问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。
通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。
问:修补程序有什么用途?
答:修补程序修补此漏洞的方法是,修改 DCOM 接口,使之能够检查向它传递的信息。
解决方法
问:在我测试或评估此修补程序期间,是否有什么解决方法可用来防止利用此漏洞?
答:有。尽管 Microsoft 迫切希望所有客户尽早应用此修补程序,但在应用此程序之前,还是有许多解决方法可帮助阻止利用此漏洞。
须指出的是,这些解决方法仅是权宜之计,因为它们只是堵住了攻击途径,而没有从根本上消除漏洞。
以下几节旨在为您提供一些帮助计算机防范攻击的信息。每一节都介绍了一些解决方法,您可根据您的计算机配置灵活选用。
每一节都根据您需要的功能级别介绍可用的解决方法。
在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
Internet 连接防火墙。
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
Symantec Corp.--W32.Blaster.Worm 杀毒工具
移除工具的功能
「W32.Blaster.Worm 杀毒工具」会执行下列操作:
终止 W32.Blaster.Worm 病毒程序。
删除 W32.Blaster.Worm文件。
删除所安装的档案。
删除此蠕虫所加入的注册键值。
获得并运行此工具
--------------------------------------------------------------------------------
注意:
在 Windows 2000 或 Windows XP 上,需要具有管理权限才能运行此工具。
如果正在运行 MS Exchange 2000 Server,可能需要从命令行使用 Exclude 转换参数运行该工具,从而排除对 M 驱动器的扫描。不管是否进行此操作,在运行该工具之前都需要备份 M 驱动器上的所有数据。有关此要求为何必要的信息,请阅读 Microsoft 知识库文章:http://support.microsoft.com/default.aspx?scid=kb;en-us;299046。
--------------------------------------------------------------------------------
从以下位置下载 FixBlast.exe 文件:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
将该文件保存到方便的位置,如您的下载文件夹或 Windows 桌面(如果可能,保存到确认未感染病毒的可移动介质中)。
要检查数字签名的可靠性,请参考“数字签名”部分。
在运行此工具前,关闭所有正在运行的程序。
如果运行的是 Windows Me 或 XP,请禁用系统还原功能。有关其他详细信息,请参考“Windows XP 中的系统还原选项”部分。
--------------------------------------------------------------------------------
注意:如果运行的是 Windows XP,强烈建议不要跳过此步骤。如果未禁用 Windows Me/XP 系统还原功能,杀毒程序可能会失败,因为 Windows 禁止外部程序修改系统还原功能。
--------------------------------------------------------------------------------
双击 FixBlast.exe 文件以启动杀毒工具。
单击 Start 启动此进程,然后运行此工具。
--------------------------------------------------------------------------------
注意:运行此工具时,如果出现工具无法删除一个或多个文件的消息,请在安全模式下运行此工具。关闭计算机,关掉电源,然后等待 30 秒。以安全模式重新启动计算机,并再次运行此工具。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导,请参阅文档:如何以安全模式启动计算机。
--------------------------------------------------------------------------------
重新启动计算机。
再次运行此杀毒工具以确保系统是干净的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到 W32.Blaster.Worm 的感染。删除蠕虫后,程序将显示下列结果:
已扫描的文件总数。
已删除的文件数。
已终止的病毒进程数。
修复的注册键数。
金山毒霸--免费冲击波专杀工具
http://download01.duba.net/download/othertools//Duba_Sdbot.EXE
用户如果中招“冲击波” 该如何根除?
被“冲击波”病毒感染的机器,最常见的现象就是系统在启动1分钟后就反复重启,用户这时候根本就没有时间上网去下载专杀工具或打补丁,那该怎么办呢?告诉你一个办法,让你在一分钟之内搞定系统。用户在进行以下操作时,必须先将网络断开,以防止计算机重复感染。
一、使用启动盘,在DOS环境下清除病毒。
1. 当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、进入安全模式,手工清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
三、当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。
Windows2000简体中文版http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
WindowsXP简体中文版http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows2000英文版http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
WindowsXP英文版http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
说明:可能个别盗版Windows XP系统不能正常打上补丁,Windows 2000操作系统必须升级SP2以上版本才可安装补丁。
相关参考:http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
如果用户在手工清除完病毒后,在去上网下载补丁包时,计算机再次感染病毒并重启,这时就只能再次用手工清除该病毒,然后通过没感染该病毒的计算机下载相应的补丁,给系统打补丁,然后再做其它操作。
Q & A
我的机器是被攻击了吗?
1、莫名其妙地死机或重新启动计算机;2、IE浏览器不能正常地打开链接;3、不能复制粘贴;4、有时出现应用程序,比如Word异常;5、网络变慢;6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
以上这些情形,如果是最近两天才出现的现象,都很有可能是由于受到了“冲击波”病毒的攻击。尤其是第六条符合,那就肯定是已经被冲击波攻击成功了,必须立刻采取杀毒、打补丁的措施。
我打不开补丁的链接:
可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏里输入了;方法2、打开网络蚂蚁或网络快车,把上面的地址复制或输入到下载的任务里就行了。
我怎么知道我是不是已经打上了这个补丁?
根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这一项。
打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。
展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分别:
1、对于WindowsNT4.0:找到Updates,Windows NT,SP6,看看里面有没有kb823980
2、对于Windows2000:找到Updates,Windows 2000,SP5,看看里面有没有kb823980
3、对于WindowsXP:
找到Updates,Windows XP,SP1,看看里面有没有kb823980
4、对于WindowsXP SP1:找到Updates,Windows XP,SP2,看看里面有没有kb823980
如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。更多精彩文章及讨论,请光临枫下论坛 rolia.net