电脑故障门诊

密码

冲击波解决办法：

1、终止该计算机病毒运行。方法如下：
打开Windows任务管理器；
Windows 95／98／ME系统按CTRL+ALT+DELETE；
Windows NT／2000／XP系统按CTRL+SHiFT+ESC；
在运行的程序清单中查找进程“MSBLAST．EXE”，终止该进程的运行。


2、删除注册表中的自启动项。方法如下：
单击 开始gt;运行，输入Regedit，打开注册表编辑器
HKEY-LOCAL-MACHINEgt;Softwaregt;Microsoftgt;Windowsgt;CurrentVersiongt;Run
在右边的列表中查找并删除以下项目：Windows auto
update\"=MSBLAST．EXE

3、登录微软网站，安装RPC漏洞的补丁程序：
<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/technet/treeview/default.asp\">http://www.microsoft.com/technet/treeview/default.asp</a><!-- m -->? url=/technet／security／bulletin／MS03-026.asp

密码

不耻下问，我的机器：


1、现象：上网奇慢，有时无法复制粘贴和打开连接

结论：推测机器中毒



2、
现象：为终止该计算机病毒运行，打开Windows任务管理器，未发现有进程“MSBLAST．EXE”在运行

现象：为删除注册表中的自启动项。
单击 开始gt;运行，输入Regedit，打开注册表编辑器
HKEY-LOCAL-MACHINEgt;Softwaregt;Microsoftgt;Windowsgt;CurrentVersiongt;Run，未查找到右边的列表中以下项目：Windows auto
update\"=MSBLAST．EXE
所以也未能删除之

问题：不知是否中毒



3、现象：

安装KB823980 补丁的时候，出现如下错误提示：

安装程序检测到您的系统上安装的 service pack 比应用此修补程序所需的版本要低，您必须安装service pack 2或更高版本。

所以无法打补丁。

问题：如何升级到service pack 2或更高版本？


4、现象：

浏览器运行一段时间后出现如下错误提示：

svchost.exe产生了错误，会被 window 关闭，您需要重新启动程序。
正在创建错的日志。

问题：也是中毒症状？如何解决？

行者

密码参见我上页给的网址吧，那是正解，你的现象和我一样。

跳水兔

什么时候会中毒？我们怎样预防呢？

油麻菜籽

俺刚刚把移动硬盘里一个文件删了 exe格式的，以为没用。
刚删就知道坏了。：（（

哪位大侠帮忙，看看怎么恢复啊？快救命。。。

PS：用的彻底删除方式。

ty

我的防火墙不断挡截到来自不同IP的PING攻击（成千上万次的PING），从各个论坛上的贴子来看，可能各地的网络多受到了这种攻击，估计又是一种病毒在发作，究竟是什么样的病毒目前，还没有进一步的解决方案！

作好网络防火墙，这可能是你目前最好的防御工具！

ty

绿盟科技紧急公告(Alert2003-zh-03)

利用DCOM RPC溢出和WebDAV溢出的蠕虫紧急公告！

发布日期：2003-08-19

CVE CAN ID：CAN-2003-0352
BUGTRAQ ID：8205

受影响的软件及系统：
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

综述：
======
绿盟科技安全小组监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫正在活跃，该蠕虫会发送大量ICMP数据包，阻塞正常网络通信，危害很大。

更新记录：

2003-08-18 23:00 文档创建

分析：
======
北京时间2003年08月18日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php?act=sec_bugdo=viewbug_id=5147）和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php?act=sec_bugdo=viewbug_id=4554）的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。

该蠕虫大小为10240字节。用VC 6.0编译，upx 压缩。

蠕虫感染系统后首先将%systemroot%\\system32\\dllcache\\tftpd.exe拷贝到%systemroot%\\system32\\wins\\svchost.exe，创建服务“RpcTftpd”，显示名称设置为：“Network Connections Sharing”，并将MSDTC服务的描述信息复制给自己；再将自身拷贝到%systemroot%\\system32\\wins\\dllhost.exe，创建服务“RpcPatch”，显示名称设为“WINS Client”，并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后，用net start命令可以看到，用其他服务管理实用程序也可以看到。

然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁，并用-n -o -z -q的参数来安装，-n表示不创建备份文件，-o表示覆盖文件不提示，-z表示安装完后不重新启动，-q表示安静模式。如果是日文版，则不作修复。

检测是否有名为“RpcPatch_Mute”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为echo，总大小为92字节，数据区为64字节的小写字母“a”。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。

一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口，等待目标主机回连，连接成功后首先发送“dir dllcache\\tftpd.exe”和“dir wins\\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，则“copy dllcache\\tftpd.exe wins\\svchost.exe”，如果没有，就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功，若成功，就执行，不成功则退出。

该蠕虫还利用了WebDAV漏洞，如果目标主机存在该漏洞，既使在防火墙上阻塞了TCP/135端口，也会受影响。

蠕虫会检测系统时间，如果系统时间是2004年，就自动清除自身。

有趣的是，该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程，如果有就将其清除，如果system32目录下有msblast.exe文件，就删除。

蠕虫代码中还包含以下数据：
=========== I love my wife  baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins

解决方法：
==========
我们建议您这样做：

* 检测是否被蠕虫感染：

检查系统的%systemroot%\\system32\\wins\\目录下是否存在dllhost.exe和svchost.exe文件，如果有，则说明您已经被感染。

* 暂时禁用DCOM

1、先断开网络连接，然后重新启动系统。

2、保持网络连接是断开的。点击左下角的“开始”菜单，选择“运行”，在其中键入“dcomcnfg”，点击“确定”，这样就打开了DCOM配置工具。（可能会出现几个弹出窗口的提示，可以一律点击确定。）

3、在“默认属性”页，取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。

4、这样我们就禁用了DCOM，您的系统不再受蠕虫的影响，您可以连上网络继续下面的安装补丁等操作，但是在安装完补丁之后，最好再启用DCOM，因为我们不知道您系统上是否有某些应用依赖于DCOM。

* 安装补丁：

安装Windows 2000 SP4（http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp）
和MS03-026（http://www.microsoft.com/technet/security/bulletin/MS03-026.asp）的安全更新。下载地址

Windows NT 4.0 Server：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows NT 4.0 Terminal Server Edition ：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows 2000：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows XP 32 bit Edition：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows XP 64 bit Edition：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows Server 2003 32 bit Edition：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

Windows Server 2003 64 bit Edition：

<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/downloads/...amp;displaylang=en\">http://www.microsoft.com/downloads/...amp;displaylang=en</a><!-- m -->

安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。

* 清除蠕虫

如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：

1、按照上述方法安装补丁。

2、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。这样就启动了命令提示符。在其中键入：
net stop RpcPatch
net stop RpcTftpd

3、删除%systemroot%\\system32\\wins\\svchost.exe和%systemroot%\\system32\\wins\\dllhost.exe。

4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中删除键：
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcPatch
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcTftpd
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\RpcTftpd
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\RpcPatch

5、重新启动系统。

也可利用蠕虫检测系统时间，自动清除自身的特性，将系统时间改到2004年，然后重新启动系统，再将时间改回来。

* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议

可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真实的，可通过在Sniffer上设定过滤规则，捕获大小为92字节的ICMP ECHO数据包，统计源IP，即可了解网络中那些系统被蠕虫感染，并采取相应措施。

绿盟科技产品的冰之眼IDS（http://www.nsfocus.com/homepage/products/nids.htm）早在该漏洞发布时（2003年7月）就已经可以检测此种攻击；RSAS（http://www.nsfocus.com/homepage/products/rsas.htm）也早就可以检测到网络内受该漏洞影响的主机；对于大量的ICMP数据流导致的拒绝服务，黑洞（http://www.nsfocus.com/homepage/products/collapsar.htm）是目前最佳解决方案之一。

附加信息：
==========
<!-- m --><a class=\"postlink\" href=\"http://www.nsfocus.net/index.php?ac...iewamp;bug_id=5147\">http://www.nsfocus.net/index.php?ac...iewamp;bug_id=5147</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://www.nsfocus.net/index.php?ac...iewamp;bug_id=4554\">http://www.nsfocus.net/index.php?ac...iewamp;bug_id=4554</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/technet/se...in/MS03-026.asp\">http://www.microsoft.com/technet/se...in/MS03-026.asp</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://www.microsoft.com/technet/se...in/MS03-007.asp\">http://www.microsoft.com/technet/se...in/MS03-007.asp</a><!-- m -->

声 明
==========

本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。


__________________

跳水兔

安装KB823980 补丁的时候，出现如下错误提示：

安装程序检测到您的系统上安装的 service pack 比应用此修补程序所需的版本要低，您必须安装service pack 2或更高版本。

所以无法打补丁。

问题：如何升级到service pack 2或更高版本？

[url:swnglljo]v4,windowsupdate,microsoft.com/zhcn/default,asp[/url:swnglljo]在这里升级

一生悬命

求大家帮忙：

我的QQ每十分钟就出现QQ的广告消息，快把我弄疯了，谁知道如何解决？

多少个好

安装木子版的qq plus，有去除广告的功能。我这有安装的，可以联系我。